Уязвимость внедрения команд существует в DigitalOcean Droplet Agent до версии 1.3.2. Компонент действия по устранению неполадок (internal/troubleshooting/actioner/actioner.go) обрабатывает метаданные из конечной точки службы метаданных и выполняет команды, указанные в массиве TroubleshootingAgent.Requesting, без адекватной проверки входных данных. Хотя код проверяет наличие артефактов на карте validInvestigationArtifacts, он не может очистить фактическое содержимое команды после префикса «command:».
Это позволяет злоумышленнику, который может контролировать ответы метаданных, внедрять и выполнять произвольные команды ОС с привилегиями root. Атака запускается путем отправки TCP-пакета с определенными порядковыми номерами на порт SSH, в результате чего агент получает метаданные из http://169.254.169.254/metadata/v1.json. Уязвимость затрагивает поток выполнения команд в внутреннем/troubleshooting/actioner/actioner.go (недостаточная проверка), внутреннем/troubleshooting/command/exec.go (прямой вызов exec.CommandContext) и внутреннем/troubleshooting/command/command.go (анализ команды без очистки).
Это может привести к полной компрометации системы, краже данных, повышению привилегий и потенциальному горизонтальному перемещению по облачной инфраструктуре.
Показать оригинальное описание (EN)
A command injection vulnerability exists in DigitalOcean Droplet Agent through 1.3.2. The troubleshooting actioner component (internal/troubleshooting/actioner/actioner.go) processes metadata from the metadata service endpoint and executes commands specified in the TroubleshootingAgent.Requesting array without adequate input validation. While the code validates that artifacts exist in the validInvestigationArtifacts map, it fails to sanitize the actual command content after the "command:" prefix. This allows an attacker who can control metadata responses to inject and execute arbitrary OS commands with root privileges. The attack is triggered by sending a TCP packet with specific sequence numbers to the SSH port, which causes the agent to fetch metadata from http://169.254.169.254/metadata/v1.json. The vulnerability affects the command execution flow in internal/troubleshooting/actioner/actioner.go (insufficient validation), internal/troubleshooting/command/exec.go (direct exec.CommandContext call), and internal/troubleshooting/command/command.go (command parsing without sanitization). This can lead to complete system compromise, data exfiltration, privilege escalation, and potential lateral movement across cloud infrastructure.
Характеристики атаки
Последствия
Строка CVSS v3.1