声明
本文是学习2022中国软件供应链安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
五、典型软件供应链安全风险实例分析
1、某主流网络接入存储(NAS)设备供应链攻击实例分析
网络接入存储NAS基于标准网络协议实现数据传输,为网络中的Windows/Linux /Mac OS等各种不同操作系统的计算机提供文件共享和数据备份,在云存储、数据容灾、Web服务器等中广泛使用。本实例中我们分析的NAS系统在市场占有率方面具有领先优势,且预装了磁盘站管理系统。
经分析发现,该磁盘站管理系统中使用了SQLite、libssh2、Netatalk等在内的超过200款开源软件,并由此引入了1000余个已知开源软件漏洞,其中包括超危漏洞195个、高危漏洞461个。该磁盘站管理系统使用的部分开源软件及漏洞情况如下表所示。
序号 | 开源软件名称 | 开源软件版本 | 漏洞情况 |
---|---|---|---|
1 | SQLite | 3.10.2 | 超危:5,高危:6,中危:7 |
2 | libssh2 | 1.7.0 | 超危:5,高危:6 |
3 | libpng | 1.6.28 | 超危:2,高危:3,中危:9 |
4 | zlib | 1.2.8 | 超危:2,高危:3 |
5 | OpenSSL | 1.0.2n | 超危:1,高危:4,中危:12,低危:3 |
6 | Netatalk | 3.1.8 | 超危:1,高危:1 |
7 | bzip2 | 1.0.6 | 超危:1,中危:1 |
8 | libTIFF | 4.0.8 | 高危:6,中危:15 |
9 | c-ares | 1.12.0 | 高危:2,中危:1 |
10 | pip | 8.1.1 | 高危:2,中危:1 |
这其中,Netatalk是一款开源的Apple Filing Protocol(AFP)服务程序,Linux或BSD等系统可使用它提供Mac文件服务器文件共享功能,被应用于多家主流NAS厂商的设备中。
CVE-2021-31439是Netatalk的一个高危历史漏洞(上表中所示),Netatalk组件在处理DSI数据包时存在堆溢出问题,未认证的用户通过发送精心构造的数据包,可实现任意代码执行,从而获取设备的控制权。该漏洞影响Netatalk组件当前所有版本。
进一步分析验证发现,利用该漏洞,可成功攻击磁盘站管理系统所属的NAS设备,如下图所示,成