close

聚焦源代碼安全,網羅國內外最新資訊!

編譯:代碼衛士團隊

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。

亞馬遜AWS為Log4Shell 漏洞發布的熱補丁可用於沙箱逃逸和提權,導致攻擊者控制底層主機。

Palo Alto Networks 公司Unit 42 團隊研究員 Yuval Avrahami 在本周發布的報告中指出,「除了容器外,低權限進程也可利用該補丁提權並獲得根代碼執行權限。」

漏洞CVE-2021-3100、CVE-2021-3101、CVE-2021-0070和CVE-2021-0071(CVSS 8.8)影響AWS推出的熱修復解決方案,根因在於熱補丁旨在搜索Java 進程並修復 Log4j 缺陷但無法確保Java 新進程在容器上施加的限制下運行。

Avrahami 解釋稱,「任何運行名為 『java」的二進制(不管是否在容器內部還是外部),都是熱補丁的候選。因此惡意容器可包含名為『java』的惡意二進制,誘騙所安裝的熱補丁解決方案以提權的方式調用它。」隨後,提升後的權限可被惡意 「java」 進程用於逃逸容器並獲得對受陷服務器的完全控制權限。

惡意低權限進程也可創建並執行惡意的名為「java」的二進制,誘騙熱補丁服務以提升後的權限運行。

建議用戶儘快升級至已修復的熱補丁版本以阻止潛在利用,不過首先要修復已遭利用的的 Log4Shell 缺陷。Avrahami 表示,「容器通常用於在同樣機器上運行的應用之間的安全邊界。容器逃逸可導致攻擊者擴展到除單一應用以外的攻擊活動中並攻陷鄰近服務。」


代碼衛士試用地址:https://codesafe.qianxin.com/
開源衛士試用地址:https://oss.qianxin.com



推薦閱讀
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
谷歌和GitHub 聯手提出新方法,提振軟件供應鏈安全
GitHub 突然封禁受制裁俄羅斯實體的開發人員賬戶
速修復!這個嚴重的 Apache Struts RCE 漏洞補丁不完整
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
熱門Ruby 庫中存在嚴重的命令注入漏洞
PHP包管理器PEAR 中爆多個缺陷可發動供應鏈攻擊,已潛伏15年
FIN7 正在轉向密碼重置和軟件供應鏈攻擊
從主流安全開發框架看軟件供應鏈安全保障的落地
速修復!這個嚴重的Zlib內存損壞漏洞已存在17年!
攻擊者「完全自動化」發動NPM供應鏈攻擊
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
Node-ipc 熱門包作者投毒「社死『』,誰來保護開源軟件供應鏈安全?
因供應商遭不明網絡攻擊,豐田汽車宣布停產
Linux Netfilter 防火牆模塊爆新漏洞,攻擊者可獲取root權限
豐田汽車頂級供應商 Denso 疑遭勒索攻擊,被威脅泄露商業機密
漏洞Dirty COW:影響Linux系統以及安卓設備
第三方支付處理廠商軟件有漏洞,日本美容零售商Acro 10萬支付卡信息遭攻擊
Linux 內核 cgroups 新漏洞可導致攻擊者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍
Apache Cassandra 開源數據庫軟件修復高危RCE漏洞
2021年軟件供應鏈攻擊數量激增300%+
熱門開源CMS平台 Umbraco 中存在多個安全漏洞,可使賬戶遭接管
詳細分析開源軟件項目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 嚴重漏洞可導致供應鏈攻擊
Apache PLC4X開發者向企業下最後通牒:如不提供資助將停止支持
Apache 軟件基金會:頂級項目仍使用老舊軟件,補丁作用被削弱
美國商務部發布軟件物料清單 (SBOM) 的最小元素(上)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(中)
美國商務部發布軟件物料清單 (SBOM) 的最小元素(下)
NIST 發布關於使用「行政令-關鍵軟件」的安全措施指南
NIST 按行政令關於加強軟件供應鏈安全的要求,給出「關鍵軟件」的定義及所含11類軟件
SolarWinds 攻擊者再次發動供應鏈攻擊
美國「加強軟件供應鏈安全實踐的指南」 (SSDF V1.1草案) 解讀來了
軟件供應鏈安全現狀分析與對策建議
「木馬源」攻擊影響多數編程語言的編譯器,將在軟件供應鏈攻擊中發揮巨大作用
GitHub 在 「tar」 和 npm CLI 中發現7個高危的代碼執行漏洞
流行的 NPM 包依賴關係中存在遠程代碼執行缺陷
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件
微軟「照片」應用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術分析
SolarWinds 供應鏈事件後,美國考慮實施軟件安全評級和標準機制
找到軟件供應鏈的薄弱鏈條
GitHub談軟件供應鏈安全及其重要性
揭秘新的供應鏈攻擊:一研究員靠它成功入侵微軟、蘋果等 35 家科技公司
開源軟件漏洞安全風險分析
開源OS FreeBSD 中 ftpd chroot 本地提權漏洞 (CVE-2020-7468) 的技術分析
集結30+漏洞 exploit,Gitpaste-12 蠕蟲影響 Linux 和開源組件等
限時贈書|《軟件供應鏈安全—源代碼缺陷實例剖析》新書上市
熱門開源CI/CD解決方案 GoCD 中曝極嚴重漏洞,可被用於接管服務器並執行任意代碼
GitKraken漏洞可用於盜取源代碼,四大代碼託管平台撤銷SSH密鑰
因服務器配置不當,熱門直播平台 Twitch 的125GB 數據和源代碼被泄露
彪馬PUMA源代碼被盜,稱客戶數據不受影響

原文鏈接

https://thehackernews.com/2022/04/amazons-hotpatch-for-log4j-flaw-found.html

題圖:Pixabay License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()