本周安全态势综述
OSCS社区共收录安全漏洞15个,值得关注的是Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980),Django Trunc和Extract方法存在 SQL 注入漏洞(CVE-2022-34265)和OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)。
针对NPM和PyPI仓库,共监测到18次投毒事件,涉及94个不同版本的NPM组件,1个PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980)
Apache Commons Configuration 中形如
${prefix :``name}
的字符串可以被解析,当 interpolate操作的字符串可控时,用户调用Lookup类时可能导致攻击者执行任意代码或远程连接服务器。
OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)
OpenSSL RSA 组件在计算过程中会发生内存泄露,精心构造的 tls 认证请求或其他认证行为有可能利用泄露的内存,造成远程代码执行。
Django Trunc 和 Extract 方法存在 SQL 注入漏洞(CVE-2022-34265)
在 Django 中如果没有对 kind / lookup_name 值进行安全性校验,则 Trunc() 和 Extract() 数据库函数会受到 SQL 注入的影响。
投毒风险监测
OSCS 监测的一周投毒组件数量如下所示,可以看出工作日的投毒数量有明显的起伏,周末的投毒数量相比工作日较少
投毒行为中 60% 是尝试 获取并上报主机敏感信息 ,进行相关风险的验证,2.1% 存在后门、远控类的行为。
例如开发者 hayahunterr 7月7日在 NPM 仓库中上传了 ably-common、api-key-regex 等与 Ably 公司的开源项目同名恶意组件包。OSCS经过分析推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。
开发者btwiuse7月4日在 NPM 仓库上传携带远程控制程序的恶意组件包,已有服务器被远控。
IconBurst事件:NPM 供应链攻击影响数百个网站和应用程序,部分恶意组件包下载量已破万。
CuteBoi在过去的半年里投放了1200个NPM组件进行挖矿
PyPI 对关键项目强制执行 2FA
黑客从 Mangatoon 的 Elasticsearch 数据库窃取了 2300 万个账户的数据
www.bleepingcomputer.com/news/securi…
