Par défaut, les référentiels malveillants s’exécutent automatiquement lorsqu’un dossier est ouvert, mettant les machines de développeur et les données organisationnelles sensibles à risque.
Oasis Security a découvert un défaut dans le curseur de l’éditeur de code AI largement utilisé qui permet d’exécuter silencieusement des référentiels malveillants à exécuter en silence le moment où un développeur les ouvre.
À peine surpris, les chefs de sécurité considèrent la découverte comme un autre cas où la facilité d’utilisation a conquis les défaillances sécurisées. « Avec Workspace Trust désactivé par défaut dans le curseur, cette vulnérabilité transforme effectivement une simple action` `ouverte » en un compromis complet potentiel de la machine d’un développeur », a déclaré le CISO de Fenix24, Heath Renfrow. CISO CISO CISO CISO, RANDOLPH, a noté un modèle familier: «Lorsque les produits atteignent l’adoption de l’hypergrow,« sécurisé par défaut »est souvent sacrifié pour la vitesse».
Cursor, une plate-forme de codage de «vibration» de premier plan, transforme le langage naturel en la vitesse et la puissance offrant le code de travail tout en augmentant de nouvelles considérations de sécurité de l’entreprise. Un exploit réussi permettra aux attaquants d’accéder aux données sensibles dans les environnements de développeurs, y compris les clés d’API, les informations d’identification cloud et les séances SaaS.
Autorun RCE permet un compromis à l’échelle de l’organisation
Le défaut existe car le curseur est expédié avec Workspace Trust désactivé par défaut, permettant aux tâches d’exécuter automatiquement sans approbation explicite de l’utilisateur. Cela permet aux attaquants d’injecter dans les référentiels publics un fichier «.vscode / tasks.json» fabriqué, qui peut être défini sur les tâches Autorun au moment où un dossier est ouvert – pas d’invite, pas d’avertissement. Cette voie d’exécution peut permettre à un référentiel malveillant de compromettre la machine d’un développeur à travers quelque chose d’aussi ordinaire que de parcourir un projet.
« L’ouverture d’un espace de travail fabriqué peut exécuter des commandes sous les privilèges de l’utilisateur actuel, héritant de système de fichiers, de réseau et d’accès aux informations d’identification », ont déclaré les chercheurs de l’OASIS dans la divulgation. « Les variables d’environnement lisibles et les secrets stockés localement (jetons, API, fichiers de configuration) peuvent être récoltés, créant un chemin direct vers un accès non autorisé avec un rayon de souffle à l’échelle de l’organisation. »
Trey Ford, responsable de la stratégie et de la confiance chez BugCrowd, a comparé la faille aux vulnérabilités à l’ancienne comme «Autorun.inf» sur des disques amovibles, où l’insertion des médias pourrait déclencher des programmes malveillants. «Les développeurs et les équipes opératoires utilisant ces plateformes ont un accès considérable en termes de systèmes, d’infrastructures, de propriété intellectuelle et de plans et de partenariats stratégiques – avoir un moyen simple de compromettre directement ces systèmes est une gêne», a déclaré Ford.
Les chercheurs de l’OASIS ont noté que la faille n’affecte pas le code Visual Studio. « Visual Studio Code permet par défaut par défaut d’espace de travail et les portes des crochets risqués (tâches, de débogage de prélassement et de certaines activations d’extension) jusqu’à ce qu’un dossier soit explicitement fiable », ont-ils déclaré. «La valeur par défaut du curseur désactive cette protection, donc les autoruns tels que Runon:« Folderopen »Fire sans invite de consentement.»
Dette de sécurité dans l’écosystème du curseur
La divulgation n’est pas un scénario isolé. Plus tôt cette année, Cursor était déjà ciblé par des campagnes comme CurXecute et McPoison, ainsi que la falsification des forfaits NPM destinés aux utilisateurs de MacOS. Barr a averti que le problème .vscode / tasks.json n’est «qu’une autre pièce du même puzzle: les attaquants regardent profondément dans l’écosystème de Cursor pour découvrir toute voie de l’exécution.»
En faisant allusion à une doublure argentée, Ford a déclaré: «Le curseur est au point où ils sont comparés (et de plus en plus ciblés) Visual Studio de Microsoft. Il s’agit d’un motif élevé d’un high-five et d’un calcul pour durcir et étendre les capacités de sécurité d’entreprise.» Pour atténuer le problème, les chercheurs de l’OASIS conseillent à permettre à Workspace Trust et à prendre des soins supplémentaires avec des référentiels inconnus, comme les ouvrir ailleurs, les examiner en premier et la limitation des secrets exposés.
