Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via the remote_url parameter in the remote directory scan endpoint (POST /v1/{iac}/{iacVersion}/{cloud}/remote/dir/scan) when running in server mode. An unauthenticated remote attacker can supply an attacker-controlled HTTP URL as remote_url with remote_type set to "http". The URL is passed directly to hashicorp/go-getter (v1.7.5) without validation. Go-getter's HttpGetter supports the X-Terraform-Get response header, allowing the attacker's server to redirect the download to a file:// URL, enabling local file read. Additionally, HttpGetter has Netrc set to true, causing it to read ~/.netrc and send stored credentials to attacker-controlled hostnames. This affects deployments running terrascan in server mode (terrascan server), which binds to 0.0.0.0 with no authentication. Note: Terrascan was archived in August 2023 and no patch will be released.
Terrascan v1.18.3 and prior contain a Server-Side Request Forgery (SSRF) vulnerability in the remote directory scan endpoint that allows unauthenticated attackers to read local files and exfiltrate credentials via the remote_url parameter. The vulnerability exploits go-getter's X-Terraform-Get header support and Netrc credential handling to bypass security controls.
تؤثر هذه الثغرة على نشرات Terrascan التي تعمل في وضع الخادم مع الربط على 0.0.0.0 بدون مصادقة. يمكن للمهاجم استخدام معامل remote_url لتوجيه الطلبات إلى خوادم خاضعة لسيطرته، مما يسمح بقراءة الملفات المحلية والوصول إلى بيانات الاعتماد المخزنة. يستغل الهجوم آليات go-getter للتحويل والمصادقة.
Terrascan v1.18.3 وإصدارات سابقة تحتوي على ثغرة SSRF في نقطة نهاية المسح البعيد تسمح للمهاجمين غير المصرح لهم بقراءة الملفات المحلية وتسريب بيانات الاعتماد. تستغل الثغرة دعم رأس X-Terraform-Get ومعالجة بيانات اعتماد Netrc للالتفاف حول عناصر التحكم الأمنية.
Upgrade Terrascan to a patched version beyond v1.18.3 immediately. Implement network segmentation to restrict outbound connections from Terrascan servers. Deploy authentication and authorization controls for the /v1 API endpoints. Disable Terrascan server mode if not required for operations. Monitor and validate all remote_url parameters with strict URL whitelisting. Review ~/.netrc files on systems running Terrascan and remove unnecessary credentials.
قم بترقية Terrascan إلى إصدار مصحح بعد v1.18.3 فوراً. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خوادم Terrascan. نشر عناصر التحكم في المصادقة والتفويض لنقاط نهاية API /v1. عطل وضع خادم Terrascan إذا لم يكن مطلوباً للعمليات. راقب وتحقق من جميع معاملات remote_url باستخدام قائمة بيضاء صارمة للعناوين. راجع ملفات ~/.netrc على الأنظمة التي تشغل Terrascan وأزل بيانات الاعتماد غير الضرورية.