聚焦源代码安全,网罗国内外最新资讯!
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
ConnectWise 公司修复了位于 ConnectWise Recover 和 R1Soft服务器备份管理器技术中的一个严重的远程代码执行 (RCE) 漏洞,可导致攻击者攻陷该公司数千名管理服务提供商 (MSP) 客户及其下游客户。
ConnectWise 公司在上周五表示,已向 ConnectWise 服务器备份管理器 (SBM) 的云和客户端实例推出自动更新,并督促R1Soft服务器备份管理器的客户立即更新至所发布的SBM新版本 6.16.4。
01
严重漏洞
ConnectWise 公司的首席信息安全官 Patrick Beggs 指出,“我们已通知客户修复并鼓励受影响产品的本地实例客户尽快安装补丁。”对于使用 ConnectWise Recover 的多数组织机构而言,无需采取额外措施,不过“R1Soft 是自管理的,我们建议这些客户快速应用补丁”。
ConnectWise 公司指出,安全厂商 Huntress 向其发出漏洞报告和PoC 代码演示该漏洞如何完全控制受影响系统。该公司表示,漏洞涉及“对下游组件所使用输出中特殊元素的不当处理”,存在于 ConnectWise Recover v2.9.7及后续版本以及 R1Sof SBM v6.16.3 及后续版本中。
Huntress 公司在10月31日发布的文章中指出,该漏洞和存在于ZK Java 库之前版本中的认证绕过漏洞 (CVE-2022-36537) 有关,该库与 ConnectWise 公司的服务器备份管理器技术有关。德国安全厂商 Code White GmbH 公司的一名研究员率先在该库中找到该漏洞并在2022年5月将其告知该框架的维护人员。该公司的另外一名研究员发现,ConnectWise 公司的 R1Soft SBM 技术当时在使用ZK 库的易受攻击版本并将该问题告知 ConnectWise 公司。由于该公司并在90天内回复,研究员透露了关于漏洞如何可被利用的一些详情。
Huntress 公司的研究员借此复现了该漏洞并优化了PoC。他们发现可利用该漏洞泄露服务器密钥、软件许可信息、系统配置文件并最终在系统超级用户上下文中获得远程代码执行权限。
Huntress 公司的研究人员发现,不仅可以获得MSP处易受攻击的 ConnectWise 系统上的代码执行权限,而且还能获得所有下游已注册端点上的代码执行权限。Shodan 扫描结果显示,超过5000个被暴露的 ConnectWise 服务器备份管理器实例易受这些利用的影响。鉴于多数系统位于 MSP 处,因此实际的受影响组织机构数量要多得多。
02
典型的软件供应链威胁
Huntress 公司的安全研究员 Caleb Stewart 指出,自己和其它研究员开发并报给 ConnectWise 公司的利用链涉及三个主要的组件:ZK库中的原始认证绕过、SBM上的RCE以及联网客户端上的RCE。
Stewart指出,研究人员耗时约三天复现了原始漏洞,之后逆向 R1Soft 应用程序以便用于恶意目的。利用该漏洞较为复杂,“但在几天内即可找到并利用漏洞”。
该漏洞再次说明,开发人员和最终客户为何需要注意环境中所有软件的安全公告。Stewart 指出,“它本质上是一个供应链漏洞——客户购买R1Soft SBM,而与之捆绑的ZK易受攻击。其严重性表现明显时,我认为ConnectWise 在快速推出补丁方面做得很出色。”
Huntress 公司的资深安全研究员 John Hammond 分析漏洞后指出,他们所开发出的可武器化攻击链本可造成广泛影响。他指出,“从一个认证绕过漏洞到完全攻陷结果,不仅跨越了一个端点,而是覆盖大量端点,它实际上是一个‘全自动’exploit,有可能造成广泛影响。”
ConnectWise 公司的首席信息安全官 Beggs并未直接回复为何未修复 Code White 公司研究员此前披露的原始漏洞,但一种可能的事实是,该研究员并未通过该公司的常规漏洞披露渠道披露该漏洞。
Beggs表示,“我们一直鼓励通过Trust Center 这个最有效的渠道提交安全问题”,通过其它渠道提交的问题不一定会获得应得的建议。他补充道,“在这个案例中,Huntress 在演示该漏洞的危险性方面做了令人尊敬的工作,他们迅速负责任地向我们直接展示漏洞并留给我们更新产品的时间。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
原文链接:
https://www.darkreading.com/risk/patch-rce-bug-connectwise-server-backup-managers
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
