NPM包中報(bào)告的嚴(yán)重安全漏洞,每周下載量達(dá)數(shù)百萬次
一個(gè)被廣泛使用的用于JavaScript編程語言的NPM包“Pac-Resolver”修復(fù)了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞可能被濫用,在發(fā)送HTTP請求時(shí)在Node.js應(yīng)用程序中運(yùn)行惡意代碼。
該漏洞被跟蹤為CVE-2021-23406,在CVSS漏洞評分系統(tǒng)上的嚴(yán)重級別為8.1,并且影響5.0.0之前的Pac-Resolver版本。
代理自動(dòng)配置( PAC )文件是一個(gè)JavaScript函數(shù),用于確定Web瀏覽器請求是直接路由到目標(biāo)還是轉(zhuǎn)發(fā)到給定主機(jī)名的Web代理服務(wù)器。PAC文件是代理規(guī)則在企業(yè)環(huán)境中的分布方式。
Tim Perry在上月底發(fā)表的一篇文章中說:“這個(gè)包在PAC - proxy - agent中用于PAC文件支持,然后在proxy - agent中反過來使用,然后在Node.js中作為HTTP代理自動(dòng)檢測和配置的標(biāo)準(zhǔn)首選包。”“它非常流行:從AWS的CDK工具包到Mailgun SDK再到Firebase CLI, Proxy-Agent被廣泛使用。”
CVE-2021-23406涉及到PAC - proxy - agent無法正確地將PAC文件沙箱化,導(dǎo)致一個(gè)不受信任的PAC文件可能被濫用,從而完全打破沙箱,并在底層操作系統(tǒng)上運(yùn)行任意代碼。然而,這要求攻擊者要么駐留在本地網(wǎng)絡(luò)上,具有篡改PAC文件內(nèi)容的能力,要么使用第二個(gè)漏洞將其鏈接起來,以改變代理配置。
Perry說:“這是針對VM模塊的一種眾所周知的攻擊,之所以有效,是因?yàn)镹ode并沒有完全隔離‘沙箱’的上下文,因?yàn)樗]有真正嘗試提供嚴(yán)格的隔離。”解決方法很簡單:使用一個(gè)真正的沙箱,而不是VM內(nèi)置的模塊。”
Red Hat在一份獨(dú)立公告中表示,Kubernetes的高級集群管理產(chǎn)品中附帶了該漏洞包,但指出“目前還不知道觸發(fā)受影響組件漏洞的載體,此外,受影響的組件受到用戶身份驗(yàn)證的保護(hù),降低了此漏洞的潛在影響。”
開發(fā)人員及其團(tuán)隊(duì)及客戶群已成為惡意軟件的關(guān)鍵切入點(diǎn),針對開發(fā)人員的最常見的攻擊媒介之一是利用公共軟件包存儲庫。因此在使用這些托管包時(shí),對框架及代碼及時(shí)進(jìn)行安全檢測十分重要。
大量調(diào)查顯示,幾乎所有現(xiàn)代企業(yè)應(yīng)用程序中都不同程度地存在易受攻擊的第三方代碼庫和開源代碼。如今企業(yè)應(yīng)用程序中平均包含多達(dá)528個(gè)開源組件,在每個(gè)代碼庫中平均發(fā)現(xiàn)158個(gè)漏洞,其中很多是關(guān)鍵漏洞。
因此,當(dāng)應(yīng)用程序中的第三代碼方庫不能保持在最新狀態(tài)時(shí),對企業(yè)來說后果可能很嚴(yán)重。首先,違規(guī)風(fēng)險(xiǎn)可能會更高,其次是增加了補(bǔ)丁的復(fù)雜性。漏洞時(shí)間越長修補(bǔ)就越復(fù)雜,打補(bǔ)丁所需的時(shí)間就越長,破壞應(yīng)用程序的風(fēng)險(xiǎn)也就越大。
隨著DevsecOps實(shí)踐,安全逐漸從一個(gè)專有的檢測部門貫穿到整個(gè)開發(fā)流程當(dāng)中,代碼安全不僅由安全團(tuán)隊(duì)負(fù)責(zé),開發(fā)人員更有責(zé)任確保代碼質(zhì)量和安全問題。安全可控的靜態(tài)代碼檢測工具可以幫助開發(fā)人員減少30%到70%的安全漏洞,同時(shí)可以檢測編碼規(guī)范問題及缺陷,為開發(fā)人員查看修改代碼問題節(jié)省大量時(shí)間成本提高開發(fā)效率。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
https://www.woocoom.com/b021.html?id=9c7ee25f6f6d4b7d81bad6a045573a1a
https://thehackernews.com/2021/09/critical-bug-reported-in-npm-package.html