关于 “runAsNode” CVE 的声明
今天早些时候,Electron 团队收到警报,得知最近针对多个著名的 Electron 应用提交了多个公开 CVE。这些 CVE 与 Electron 的两个熔断器 - runAsNode
和 enableNodeCliInspectArguments
- 相关,并错误地声称,如果这些组件未被主动禁用,远程攻击者能够通过这些组件执行任意代码。
我们不认为这些 CVE 是出于善意提交的。首先,声明是不正确的 - 该配置不启用远程代码执行。其次,这些 CVE 中提及的公司尚未收到通知,尽管他们有漏洞赏金计划。最后,虽然我们确实认为禁用相关组件可以增强应用安全性,但我们不认为这些 CVE 是以正确的严重性级别提交的。“严重”级别是为最高危险级别的问题保留的,而这里的情况肯定不是这样。
任何人都可以请求 CVE。虽然这对软件行业的整体健康有好处,但“刷 CVE”以提升单个安全研究人员的声誉是无济于事的。
尽管如此,我们理解仅仅存在具有可怕的 critical
严重性级别的 CVE 可能会导致最终用户困惑,因此作为一个项目,我们希望提供指导和帮助来处理这个问题。
这可能对我有什么影响?
在审查了这些 CVE 后,Electron 团队认为这些 CVE 并非危急。
攻击者需要已经能够在机器上执行任意命令,无论是通过物理访问硬件还是通过实现完全的远程代码执行。这需要重复强调:所描述的漏洞要求攻击者已经可以访问被攻击的系统。
例如,Chrome 不考虑物理本地攻击在其威胁模型中
我们将这些攻击视为超出 Chrome 的威胁模型,因为 Chrome(或任何应用程序)都无法防御恶意用户,他们已经设法以您的身份登录您的设备,或者可以以您的操作系统用户帐户的权限运行软件。这样的攻击者可以修改可执行文件和 DLL,更改环境变量(如
PATH
),更改配置文件,读取您的用户帐户拥有的任何数据,通过电子邮件发送给自己等等。这样的攻击者完全控制了您的设备,Chrome 可以做的任何事情都无法提供认真的防御保证。这个问题并非 Chrome 特有,所有应用程序都必须信任物理本地用户。
CVE 中描述的漏洞允许攻击者随后将受影响的应用用作具有继承 TCC 权限的通用 Node.js 进程。因此,例如,如果该应用已被授予访问地址簿的权限,则攻击者可以将该应用作为 Node.js 运行,并执行将继承该地址簿访问权限的任意代码。这通常被称为“借地攻击”。攻击者通常使用 PowerShell、Bash 或类似工具来运行任意代码。
我是否受到影响?
默认情况下,所有已发布的 Electron 版本都启用了 runAsNode
和 enableNodeCliInspectArguments
功能。如果您未按照Electron 熔断器文档中的说明将其关闭,则您的应用同样容易被用作“借地攻击”。再次强调,我们需要强调,攻击者需要已经能够受害者的机器上执行代码和程序。
缓解措施
缓解此问题的最简单方法是在您的 Electron 应用中禁用 runAsNode
熔断器。runAsNode
熔断器切换是否尊重 ELECTRON_RUN_AS_NODE
环境变量。请参阅Electron 熔断器文档,以获取有关如何切换这些熔断器的信息。
请注意,如果禁用此熔断器,则主进程中的 process.fork
将无法按预期工作,因为它依赖于此环境变量才能运行。相反,我们建议您使用实用程序进程,它适用于许多需要独立 Node.js 进程的用例(例如 Sqlite 服务器进程或类似场景)。
您可以在我们的安全检查清单中找到更多关于我们为 Electron 应用推荐的安全最佳实践的信息。