6
viewer
1 min de leitura ·

[Segurança] Aviso de segurança para galera do VSCode + Remote - SSH

Galera, acabei de me deparar com essa vulnerabilidade no plugin "Remote - SSH" do VSCode e resolvi compartilhar com vocês, pois acredito que a maioria usa essas duas ferramentas e ainda não vi ninguém falando disso.

Segue o link da postagem no Medium com maiores detalhes e PoCs (perfil Suman Kumar Chakraborty) https://medium.com/@hijack-everything/post-compromise-rce-in-vs-code-remote-ssh-turning-developer-access-into-cloud-compromise-048eed10ad44

Carregando publicação patrocinada...
4

Primeiro que se você usa VSCODE na sua máquina de PRODUÇÃO podemos concordar que essa vulnerabilidade é o menor dos problemas né.

Produção deve ser considerado um ambiente praticamente intocável, só pode ser acessado em momentos de manutenção.

Conectar qualquer ferramenta de desenvolvimento ou IA (sim, tem muita gente rodando o claudinho no servidor de produção) é pedir pra se ferrar

2

Kkkkkkk exato eu também concordo, porém infelizmente existem muitos devs e "aspirantes" que utilizam esse recurso em produção ou para corrigir os hotfix da vida...

Eu mesmo já utilizei isso pela praticidade, mas hoje em dia, até pela tomada de conciência em segurança abomino!

1

Meus 2 cents,

De fato eh uma vulnerabilidade chata - mas ela eh mais perigosa para o servidor remoto, uma vez que o desktop onde roda o vscode ja precisaria esta comprometido.

O que me espantou (no artigo do medium) foi a resposta da Microsoft:

Thank you again for submitting this report to the Microsoft Security Response Center (MSRC).

After careful investigation, this case does not meet Microsoft's bar for immediate servicing as, for the attack to occur, the attacker must first achieve arbitrary code execution at the victim user on the victim's Windows machine. However, we have shared the report with the team responsible for maintaining the product or service. They will take appropriate action as needed to help keep customers protected.

MSRC prioritizes vulnerabilities that are assessed as an Important or Critical severity. Since this case was below the bar for immediate servicing, it is not eligible for bounty, and no CVE will be issued. MSRC will not be tracking this issue further, and no additional updates will be provided.

Obrigado novamente por enviar este relatório ao Microsoft Security Response Center (MSRC).

Após uma análise cuidadosa, concluímos que este caso não atende aos critérios da Microsoft para uma correção imediata. Isso porque, para que o ataque ocorra, o invasor precisa primeiro obter execução arbitrária de código no usuário vítima, em sua máquina Windows. No entanto, compartilhamos o relatório com a equipe responsável pela manutenção do produto ou serviço. Ela tomará as medidas apropriadas, conforme necessário, para ajudar a manter os clientes protegidos.

O MSRC prioriza vulnerabilidades classificadas com severidade Importante ou Crítica. Como este caso ficou abaixo do limite estabelecido para correção imediata, ele não é elegível para recompensa (bug bounty) e nenhum CVE será emitido. O MSRC não continuará acompanhando este problema e não fornecerá atualizações adicionais.

Ou seja: Para eles, nao eh nada tao importante assim.

Agora, imagine este tipo de situacao em cascata: um atacante usando pacotes npm envenenados (o que tem acontecido bastante) contamina onde roda o VSCode (maquina do desenvolvedor ou equivalente) e insere um servico que fica analisando as atividades e injeta o codigo no script e toma conta da maquina remota. Pois eh...

Obrigado por compartilhar !

Saude e Sucesso !

Este post foi favoritado via extensão TABNEWS FAVORITOS

Tem curiosidade sobre IA ? Da uma olhada no meu LIVRO: IA PARA ENGENHEIROS

1

Cara, o que mais eu estou vendo sobre segurança são exatamente as vulnerabilidades "supply chain", principalmente no NPM. O complicado de tudo isso é que geral ignora ou realmente é ignorante nessa questão, ai faz cagada.

1

Existe um problema grave na área de segurança que são várias pessoas que reportam vulnerabilidades que não existem. A pessoa dá uma explicação técnica que, pelo jeito que ela fala, faz mesmo parecer que é uma vulnerabilidade... Mas se você analisar tecnicamente, verá que não é. E isso vale inclusive para CVE registrada, tem muita CVE "meme" de "vulnerabilidades" que não são vulnerabilidades.

É o caso dessa "vulnerabilidade" aí, ela é falsa. Pelo jeito que o cara explica, parece mesmo uma vulnerabilidade. Mas pensa: Se um atacante comprometeu a máquina do dev e a máquina do dev tem uma credencial SSH que dá acesso ao servidor............
......
......
......

Já entendeu? Preciso explicar?

Não precisa dessa enrolação que o cara explica no artigo para obter acesso ao servidor. O atacante já conseguiu a credencial de acesso ao servidor, é exfiltrar e depois rodar ssh -i ./chave ...@... na máquina dele.

Mesmo que tenha um bloqueio de rede no servidor ou sei lá, ele poderia rodar esse comando na própria máquina comprometida do dev.

Isso não é uma vulnerabilidade. Podemos dizer que é um bug, mas não podemos dizer que compromete a segurança do usuário.

Você ainda poderia argumentar sobre a credencial SSH pode estar protegida por senha ou que o server poderia ter MFA. Mas isso não vale de nada. Com a máquina do dev comprometida, tudo isso pode ser bypassado com muita facilidade.

O atacante pode, por exemplo, colocar um wrapper do comando ssh no PATH do usuário obter a senha do usuário e/ou injetar comandos no servidor depois do usuário confirmar o MFA...

Infelizmente esse tipo de pseudo-pesquisa acontece muito na área de segurança. Tem muito artigo reportando vulnerabilidade falsa, tem muita CVE registrada para vulnerabilidade falsa. Infelizmente é comum.

É importante avaliar o threat model do sistema para entender o que é ou não vulnerabilidade. Tem muito pseudo-pesquisador enganando a galera com explicações exageradas para criarem problemas que não existem.

-2

Meus 2 cents extendidos,

Fiquei curioso para ver quem eh o autor do post no medium e suas credenciais:

  • Certifications: CEH (Practical) and CRTP
  • CVE Author: CVE-2024-39904
  • Acknowledgement: Acknowledged by Docker for discovering a privilege escalation vulnerability in Docker Desktop
  • Research Contributions: 4 research papers published at IEEE COMPSAC 2025 on Cyber Security.
  • Tool Development: Creator of GodGenesis, a Python-based C2 framework that was named one of the Top 7 Tools of 2023 by Offensive Security and featured on YouTube by TrTec in collaboration with Cynet.
  • Product Contribution: Built core and risk quantification methodology of EASM(External Attack Surface Management) as a part of CSPM(Cyber Security Posture Management) module.

No post do medium ele cita a CVE-2024-39904, dai da para cruzar a autoria do post e o linkedin dele.

Concordando ou nao com o ponto de vista dele (e nao digo que concordo), pelo menos nao parece leigo ou neofito.

Saude e Sucesso !

Este post foi favoritado via extensão TABNEWS FAVORITOS

Tem curiosidade sobre IA ? Da uma olhada no meu LIVRO: IA PARA ENGENHEIROS

2

É fácil tirar essas certificações. Não precisa ter conhecimento de cybersec de verdade, só precisa ter dinheiro. Inclusive CEH é certificação meme.

A CVE-2024-39904 também é uma vulnerabilidade falsa, e como expliquei neste post, qualquer um consegue registrar CVE para uma vulnerabilidade falsa, é só conhecer um CNA negligente e escrever um report meia boca.

É só prestar atenção na descrição da CVE que você nota que o atacante só conseguiria executar programas que já estão na máquina do usuário. Eu concordo que clicar em um link e abrir a calculadora é um bug, mas não é uma vulnerabilidade. Isso não causa impacto de segurança na máquina do usuário.

É muito mais fácil criar "credencial" falsa em cybersec do que você pensa. Qualquer um com dinheiro suficiente consegue.

Eu sei que você tem uma rixinha comigo e se convenceu de que eu não sei do que eu estou falando. Mas colega, eu sei. Eu sou muito acima da média em cybersec. Eu tenho amizade com caras fodas da área. Eu tenho um servidor privado no Discord que conta com nada mais e nada menos que o Fernando Mercês, Rodrigo Rubira Branco e Lukas Teske, fora vários outros caras fodas da área (mas não tão famosos). O Mercês, inclusive, já me elogiou dizendo que ficou impressionado com o tanto de conhecimento que eu tenho.

Agora verifica as credenciais do Mercês para tu ter noção do nível do cara que me disse isso. Verifica as credenciais do Rubira.

Man, eu sou conhecido nas comunidades de cybersec BR pelo meu nível de conhecimento ser muito alto. Tu acha que é qualquer um que consegue esse tipo de fama em comunidades de cybersec? Todo mundo lá já tem um nível elevado de conhecimento, para se destacar entre eles não pode ser qualquer um.

E isso que eu falei lá no post não é uma opinião isolada minha. Todo mundo da área de cybersec sabe disso e fala disso. É praticamente consenso na área.

Mas enfim, se tu já se convenceu da tua """verdade""" então guarda ela para você. Para de sabotar os meus posts negativando eles.

Eu não posto para ganhar fama igual o pseudo-pesquisador que você tá tentando defender. Eu posto para ajudar as pessoas.

E eu postaria muito mais conteúdo de cybersec aqui se não fosse por pessoas como você que atrapalham. Você está prejudicando as pessoas de obterem acesso gratuito a conhecimento de cybersec, tudo por rixinha.