本周安全态势综述
OSCS社区共收录安全漏洞15个,值得关注的是Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980),Django Trunc和Extract方法存在 SQL 注入漏洞(CVE-2022-34265)和OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)。
针对NPM和PyPI仓库,共监测到18次投毒事件,涉及94个不同版本的NPM组件,1个PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Commons Configuration 任意代码执行漏洞(CVE-2022-33980)
Apache Commons Configuration 中形如${prefix :``name}的字符串可以被解析,当 interpolate操作的字符串可控时,用户调用Lookup类时可能导致攻击者执行任意代码或远程连接服务器。
https://www.oscs1024.com/hd/MPS-2022-19214
OpenSSL RSA 远程代码执行漏洞(CVE-2022-2274)
OpenSSL RSA 组件在计算过程中会发生内存泄露,精心构造的 tls 认证请求或其他认证行为有可能利用泄露的内存,造成远程代码执行。
https://www.oscs1024.com/hd/MPS-2022-26380
Django Trunc 和 Extract 方法存在 SQL 注入漏洞(CVE-2022-34265)
在 Django 中如果没有对 kind / lookup_name 值进行安全性校验,则 Trunc() 和 Extract() 数据库函数会受到 SQL 注入的影响。
https://www.oscs1024.com/hd/MPS-2022-19581
投毒风险监测
OSCS 监测的一周投毒组件数量如下所示,可以看出工作日的投毒数量有明显的起伏,周末的投毒数量相比工作日较少
投毒行为中 60% 是尝试获取并上报主机敏感信息,进行相关风险的验证,2.1% 存在后门、远控类的行为。
例如开发者 hayahunterr 7月7日在 NPM 仓库中上传了 ably-common、api-key-regex 等与 Ably 公司的开源项目同名恶意组件包。OSCS经过分析推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。
开发者btwiuse7月4日在 NPM 仓库上传携带远程控制程序的恶意组件包,已有服务器被远控。
IconBurst事件:NPM 供应链攻击影响数百个网站和应用程序,部分恶意组件包下载量已破万。
CuteBoi在过去的半年里投放了1200个NPM组件进行挖矿
其他资讯
PyPI 对关键项目强制执行 2FA
https://infotourism.news/pypi-mandates-2fa-for-critical-projects-developer-pushes-back/
黑客从 Mangatoon 的 Elasticsearch 数据库窃取了 2300 万个账户的数据
https://www.bleepingcomputer.com/news/security/mangatoon-data-breach-exposes-data-from-23-million-accounts/
在线编程 IDE 可用于发起远程网络攻击
https://www.trendradars.com/channels/article-375147-online-programming-ides-can-be-used-to-launch-remote-cyberattacks/
740
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
