StackStorm DevOps自动化软件中发现严重缺陷

斯塔克斯托姆这可能会让远程攻击者诱使开发人员在不知情的情况下对目标服务执行任意命令。

StackStorm，又名“IFTTforOps”，是一个功能强大的事件驱动自动化工具，用于跨服务和工具进行集成和自动化，允许开发人员配置操作、工作流和计划任务，以便在大型服务器上执行某些操作。

例如，当安全软件检测到网络中的入侵或恶意活动时，您可以在Stackstorm平台上设置指令（如果是这个，那么是那个），以自动将网络数据包文件上传到基于云的网络分析服务，如CloudShark。
因为StackStorm执行操作，它可以是任何东西，从HTTP请求到任意命令，在开发人员为自动化任务集成的远程服务器或服务上，该平台以相当高的权限运行。
根据细节巴拉克·塔威利应用程序安全研究员，在发布前与黑客新闻分享，该漏洞存在于StackStorm REST API不当处理CORS（跨源资源共享）头的方式中，最终使web浏览器能够代表通过StackStorm web UI认证的用户/开发人员执行跨域请求。

“特别是StackStorm API返回的目的访问控制允许源.在[StackStorm]2.10.3/2.9.3之前，如果请求的来源未知，我们将返回null，”StackStorm在一篇关于该漏洞的博客文章中说。“正如Mozilla的文档所示，客户端行为也会备份，null可能会导致某些客户端中来自未知来源的请求成功。这可能会导致针对StackStorm API的XSS式攻击”。

Access Control Allow Origin标头对资源安全至关重要，该标头指定哪些域可以访问站点的资源，如果在站点上配置错误，可能会允许其他恶意站点以跨站点的方式访问其资源。
利用这个漏洞(CVE-2019-9580)，攻击者只需向受害者发送恶意创建的链接，即可“读取/更新/创建操作和工作流，获取内部IP，并在StackStorm agent可访问的每台机器上执行命令”

Tawily与黑客新闻分享了一段概念验证视频，展示了StackStorm中的漏洞如何允许攻击者接管StackStorm代理可访问的任何服务器。

研究人员上周与StackStorm团队分享了他的发现，该团队承认了这一问题，并立即发布了StackStorm版本2.9.3和2.10.3，以在短短两天内解决该漏洞。

强烈建议DevOps团队更新StackStorm。