本周安全态势综述
OSCS 社区共收录安全漏洞 31 个,值得关注的是 Apache Hive 未授权访问 UDF 漏洞(CVE-2021-34538),Node.js DLL 劫持漏洞(CVE-2022-32223)和 ORails 框架下 activerecord 模块反序列化漏洞(CVE-2022-32224)。
针对 NPM 和 PyPI 仓库,共监测到 12次 投毒事件,涉及 106个 不同版本的 NPM 组件,9个 PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Hive 未授权访问 UDF 漏洞(CVE-2021-34538)
Apache Hive 是一个建立在 Hadoop 架构之上的数据仓库。Apache Hive 受影响版本的 “CREATE” 和 “DROP” 功能操作不会检查查询中涉及实体的授权。未经授权的用户可以在没有权限的情况下操作现有的 UDF,并将其指向恶意构造的 jar。
https://www.oscs1024.com/hd/MPS-2021-25837
Node.js DLL 劫持漏洞(CVE-2022-32223)
Node.js一个基于Chrome V8 引擎 的JavaScript 运行环境。由于 Node.js 进程尝试加载 providers.dll 时没有指定DLL的绝对路径,Windows 会按照特定策略进行搜索以找到所需的 DLL 文件。攻击者上传包含恶意 DLL的 npm 组件,受害者下载并使用,会替换本机的providers.dll文件,通过 dll 劫持实现执行任意远程代码。
https://www.oscs1024.com/hd/MPS-2022-17176
ORails 框架下 activerecord 模块反序列化漏洞(CVE-2022-32224)
Rails 是一个 Web 应用程序框架。当反序列化使用 YAML(默认)的序列化时,Rails 使用YAML.unsafe_load 将 YAML 数据转换为 Ruby 对象。如果攻击者可以操纵数据库中的数据(通过 SQL 注入等手段),那么攻击者就有可能远程命令执行。
https://www.oscs1024.com/hd/CVE-2022-32224
投毒风险监测
OSCS 针对 NPM 和 PyPI 仓库监测的恶意组件数量如下所示,NPM 投毒数量远远多于 PyPI,并且时间主要集中在周三、周六。
投毒行为中 47.8% 是尝试获取并主机敏感信息(如 IP、主机名等),进行相关风险的验证,36.5% 存在仅获取了主机的环境变量。
NPM 中恶意包利用环境变量差异绕过检测:
OSCS 监测发现 NPM 仓库中上传了 branch-node-core、epic-ue-loading 两个恶意组件包,出自相同的模板,通过多种方式绕过静态、动态检测机制。由于发现这些恶意组件包在不同环境中的运行结果并不相同,OSCS 对代码进行了分析,发现这些恶意组件包会检测用户运行环境的特征,根据特征判断是否进入恶意逻辑。
https://mp.weixin.qq.com/s/YJHbMWDYZl-6VohM6q89gQ
其他资讯
约有 160万 个 WordPress 网站正在遭受大规模的网络攻击
https://hothardware.com/news/massive-cyberattack-campaign-targets-16m-wordpress-sites-for-vulnerable-plugins
DHS 首份网络安全审查委员会报告认为 Log4j 已成为待续性威胁
https://www.cnbeta.com/articles/tech/1292507.html