По-рано този месец два плъгина за популярния редактор на код Visual Studio Code получиха обновления за критични уязвимости, които може да позволят отдалеченото изпълнение на зловреден код към системите. Дупките са запушени, след като компанията за сигурност Snyk ги открива и докладва за тях. Тези проблеми не са единствените и ако въпросните добавки (Open in Default Browser и Instant Markdown) се използват от общо 600 000 разработчика, то има други плъгини с потребителска база от милиони, които може да крият същите проблеми. За това алармира и Кирил Ефимов от Snyk, цитиран от Dark Reading.
Това, което притеснява Ефимов до голяма степен е дали Microsoft Visual Studio Code, Github Atom и други редактори на код с поддръжката на плъгини преминават обстойни проверки на сигурността. „Мисля, че това е едва върха на айсберга. Макар и единствено този вектор за атака да бива засегнат в проучването ни, когато човек погледне разширенията за VS Code, веднага разбира, че това е златна мина за проучване“. Подобни редактори с разширени възможности са изключително популярни. През миналата година, Microsoft се похвалиха, че платформата им се използва активно от над 11 000 000 активни потребители. По данни на изследване ot 2019, VS Code е предпочитан избор за близо 52% от разработчиците, следван от Sublime Text (23%), Atom на GitHub (13%) и др.
В публикация от тази седмица, Snyk дават повече подробности за откритията си и отправят предупреждение относно опасностите, свързани с уязвимости в плъгините. Специалистите нарочно изчакват проблемите да бъдат адресирани от създателите на разширенията преди да публикуват своите открития. В едно от тях, Ефимов демонстрира как посредством уязвимостта в плъгина Instant Markdown, той успява SSH ключовете от разработчик, използващ VS Code. Специалистите са открили сходна уязвимост и в друг популярен плъгин – LaTeX Workshop – който има потребителска база от над 1 200 000 човека. С оглед на откритата екосистема на VS Code Extension Marketplace и факта, че публикуваните плъгини не преминават специални проверки, рисковете не само за разработчиците на приложения, но и за компаниите и потребителите, които ги използват е огромен. Магазинът на VS Code е дом на над 25 000 разширения.
„Може да изглежда, че разширението представлява просто обогатена IDE характеристика, но възможните опасности тук са далеч по-големи от това. Едно компрометирано разширение на лаптопа на разработчик означава най-малкото това, че атакуващата страна е успяла да пробие защитната стена и да получи достъп до вътрешността на корпоративната мрежа“, заключава Ефимов. Той съветва разработчиците да се информират надлежно за използваните от тях инструменти, дали биват активно поддържани и съществуват ли рискове, свързани с използването им.
