聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。
隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。
為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。
註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。
這些漏洞影響思科Adaptive Security Appliance (ASA) 軟件(思科企業級防火牆的操作系統)及其生態系統。其中最嚴重的漏洞是CVE-2022-20829,是因為Adaptive Security Device Manager (ASDM) 二進制包未進行數字化簽名導致的,組合該漏洞和對服務器SSL證書的驗證失敗漏洞可使攻擊者部署自定義ASA二進制,將文件安裝到管理員計算機上。
Rapid 7 公司的首席安全研究員 Jake Baines 指出,由於管理員希望在設備上預裝ASDM 軟件,因此未簽名的二進制使攻擊者可發動嚴重的供應鏈攻擊,「如果有人購買了ASA設備,攻擊者在上面安裝了自己的代碼,則攻擊者無法在ASA設備上獲得 shell,但如果管理員連接到設備,則攻擊者會在管理員計算機上獲得 shell。對我而言,這是最危險的攻擊。」
這些漏洞可能影響運行ASA軟件的設備和虛擬實例,有一些漏洞位於 Firepower 下一代防火牆模塊。思科的客戶遍布全球,部署的ASA設備超過100萬台。Shodan 搜索顯示,僅有20%左右設備的管理接口暴露到互聯網。
如用於供應鏈攻擊,這些漏洞可使攻擊者在網絡邊緣(多數安全團隊不會分析是否存在威脅的地方)攻陷虛擬設備。
Baines 表示,「如果你可訪問虛擬機,則可完全訪問網絡內部,但更重要的是,你可以嗅探所有經過的流量,包括解密的VPN流量。因此,這是攻擊者跳轉的好地方,不過很可能僅能嗅探憑據或監控流入網絡的流量。」
Baines 在調查思科ASDM以了解「GUI如何運作」並研究協議時發現了該漏洞。攻擊者可利用安裝在管理員系統上的組件 ASDM 啟動工具,在Java類文件中或通過ASDM Web 門戶傳播惡意代碼。如此,攻擊者可創建惡意ASDM 包,通過安裝程序、惡意網頁和惡意Java組件來攻陷管理員系統。
研究人員發現的ASDM漏洞中包含一個已知漏洞 (CVE-2021-1585),可導致未認證的遠程代碼執行攻擊。思科表示該漏洞已修復,但研究員發現仍未修復。
除了ASDM漏洞外,研究員還在 Firepower 下一代防火牆模塊中發現了少量安全弱點,包括一個認證的遠程命令注入漏洞 (CVE-2022-20828)。該Firepower 模塊是託管在ASA設備上的基於 Linux 的虛擬機,運行Snort 掃描軟件對流量進行分類。
思科發布安全公告表示,「該漏洞帶來的最終啟示應該是,將ASDM暴露到互聯網上可能對於使用Firepower模塊的ASA來說非常危險。雖然它可能是憑據攻擊,但ASDM的默認認證計劃會將用戶名和密碼暴露給活躍的中間人攻擊者。」
思科ASA設備的更新較為複雜,因此企業在緩解漏洞時會遇到問題。Baines表示,部署最為廣泛的ASA軟件版本已存在五年。僅有約一半的安裝程序在7天內更新了ASA軟件,「由於不存在自動打補丁特性,因此該設備操作系統的最流行版本就非常老舊。」
思科還必須修復其它產品中的安全問題。上周,思科披露了位於小企業路由器RV系列中的三個漏洞。攻擊者可組合利用這些漏洞在思科小企業RV160、RV260、RV340和RV345系列路由器上,在無需認證的前提下執行任意代碼。
在線閱讀版:《2022中國軟件供應鏈安全分析報告》全文
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
開源web應用中存在三個XSS漏洞,可導致系統遭攻陷
開源軟件 LibreOffice 修復多個與宏、密碼等相關的漏洞
Juniper Networks修復200多個第三方組件漏洞
美國國土安全部:Log4j 漏洞的影響將持續十年或更久
美國國土安全部:Log4j 漏洞的影響將持續十年或更久
PyPI 倉庫中的惡意Python包將被盜AWS密鑰發送至不安全的站點
開源項目 Parse Server 出現嚴重漏洞,影響蘋果 Game Center
奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎
更好的 DevSecOps,更安全的應用
他坦白:只是為了研究才劫持流行庫的,你信嗎?
熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰
從美行政令看軟件供應鏈安全標準體系的構建
研究員發現針對 GitLab CI 管道的供應鏈攻擊
五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多
趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊
RubyGems 包管理器中存在嚴重的 Gems 接管漏洞
美國商務部機構建議這樣生成軟件供應鏈 「身份證」
《軟件供應商手冊:SBOM的生成和提供》解讀
和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN
不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊
攻擊者「完全自動化」發動NPM供應鏈攻擊
200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊
哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標
NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊
熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道
速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年
25個惡意JavaScript 庫通過NPM官方包倉庫分發
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
開源網站內容管理系統Micorweber存在XSS漏洞
熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分
開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控
開源工具 PrivateBin 修復XSS 漏洞
奇安信開源組件安全治理解決方案——開源衛士
https://www.darkreading.com/application-security/four-flaws-other-weaknesses-undermine-cisco-asa-firewalls
題圖:Pexels License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表