Anfang Mai 2024 wurde eine kritische Sicherheitslücke im Serverless WebAssembly Framework Spin identifiziert, die zu einer potenziellen Netzwerk-Sandbox-Escape führen könnte. Von CVE-2024-32980 betroffen sind Versionen von Fermyon Spin vor 2.4.3.
Die Lücke betrifft Spin-Anwendungen, die selbstgesteuerte Anfragen ohne spezifizierte URL-Behörde nutzen. Diese Konfiguration ermöglicht es, dass Anwendungen durch manipulierte HTTP-Host-Header dazu gebracht werden können, Anfragen an beliebige Hosts zu senden. Angreifer könnten diese Schwachstelle ausnutzen, um die Anwendung dazu zu bringen, eine Antwort zu verarbeiten, als käme sie von einer anderen Komponente derselben Anwendung.
Voraussetzungen für die Verwundbarkeit
- Spin wird in einer Umgebung eingesetzt, die Anfragen an die Spin-Laufzeit basierend auf der Anfrage-URL und nicht auf dem Host-Header routet.
- Die Komponente, die die eingehende Anfrage verarbeitet, ist so konfiguriert, dass eine Liste von erlaubten ausgehenden Hosts, einschließlich „self“, verwendet wird.
- Die ausgehende Anfrage enthält keinen Hostnamen oder Port in der URL.
Die Schwachstelle wurde in der Version 2.4.3 von Spin behoben. Es wird dringend empfohlen, auf diese Version zu aktualisieren. Als Workaround können Betreiber von Spin sicherstellen, dass der Host-Header sanitisiert wird, um der Anwendung zu entsprechen, an die eine Anfrage geroutet wird.
Die Schwachstelle wird mit einem CVSS-Score von 9.1 als kritisch eingestuft. Nutzer und Administratoren werden aufgefordert, die entsprechenden Sicherheitsupdates umgehend zu implementieren, um die Sicherheit ihrer Systeme zu gewährleisten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: