速度更新!GoCD又曝仨洞,极易遭利用且结合利用可成供应链攻击的新跳板
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
使用广泛的热门开源CI/CD解决方案 GoCD 的维护人员修复了三个漏洞,如遭利用可导致底层服务器被接管。这三个漏洞是CVE-2021-43288、CVE-2021-43286和CVE-2021-43289,是由SonarSource 公司的研究员 Simon Scannell 和 Thomas Chauchefoin 发现的。
Scannell 和 Chauchefoin 表示,“成功利用这些漏洞的攻击者可泄露知识财产、修改源代码、获得访问生产环境的权限并在GoCD 生产的任意软件中安装后门。如此,攻击者可发动供应链攻击。“
01
PoC 脚本正在流传
研究人员表示,“这些漏洞可遭大规模利用且无需具备目标实例的任何知识,我们发现已有研究员公开了PoC 脚本。“此前,研究人员披露了该平台的一个任意文件读漏洞 (CVE-2021-43287)。
研究人员指出,“这个新的攻击面促使我们发现了三个其它漏洞以及在服务器尚执行任意代码的能力。“这三个漏洞中,其中一个是存储型XSS漏洞,可使攻击者假冒管理员访问恶意任务状况页面,从而秘密执行安全敏感操作。之后结合利用其它两个漏洞,即可完全攻陷目标实例。
02
易于利用
研究人员指出,在真实场景下利用链也易遭利用,即使利用CVE-2021-43288需要用户交互。威胁人员只要强制任务无法诱骗管理员登录 GoCD 接口就能触发存储型XSS payload。此后,实现RCE仅需两个漏洞的距离。
利用这些漏洞可使攻击者泄露外部服务如 Docker Hub 和 GitHub 的API 密钥,窃取私有源代码,获得访问生产环境的权限,并覆写被生成为 build 进程部分的文件,从而可能导致供应链攻击。
03
马上修复
研究人员在10月18日至21日期间将漏洞告知 GoCD 团队,后者在10月23日在 GitHub 推送补丁,并在10月26日发布新版本 v21.3.0,修复了上述所有四个漏洞。
研究人员指出,“GoCD 安全团队在披露过程中提供了巨大帮助。我们通过 HackerOne 平台提交了漏洞报告,他们请我们参与了调查根因的活动中并采用我们的反馈尽快修复了这些漏洞。”
GoCD已在公开论坛尚标记出了即将推出的新版本,并表示已通过邮件列表的形式提醒用户注意。研究人员指出,“未来应该会发生在野自动化利用这些漏洞的情况,记得将实例升级至 GoCD 21.3.0!”
推荐阅读
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
原文链接
https://portswigger.net/daily-swig/gocd-bug-chain-provides-second-springboard-for-supply-chain-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
速度更新!GoCD又曝仨洞,极易遭利用且结合利用可成供应链攻击的新跳板相关推荐
- 澳大利亚铁路网络漏洞多多 极易遭攻击
审计长公署警告:维多利亚州铁路存在漏洞,若遭网络攻击,可致铁路运输服务长时间关停,对该州经济造成重大影响. 该州经济监管部门在Metro和V/Line火车线路系统中发现"重大漏洞" ...
- 又一起供应链攻击现身?投毒 Gigaset 更新,在手机注入恶意软件
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 高、低成本MEMS惯导系统姿态、位置、速度更新算法的对比
高.低成本MEMS惯导系统姿态.位置.速度更新算法的对比 一.高成本MEMS惯导系统姿态.位置.速度更新算法 1.速度更新 2.位置更新 3.姿态更新 4.程序仿真及实验结果 4.1 主函数 4.2 ...
- 线代[2]|对极易混淆概念的梳理—线性相关与线性无关、极大线性无关部分组与秩与基础解系、向量空间的基与维数
原创首发于CSDN,转载请注明出处(CSDN:古希腊的汉密士),谢谢! 文章目录 一般形式的线性方程组 线性相关与线性无关 线性极大无关部分组与秩与基础解系 |齐次线性方程组的解 向量空间的基与维数 ...
- FPGA极易入门教程----工具篇(2)Quartus II 的在线调试工具 In-System Sources and Probes(ISSP)
1.什么是ISSP?ISSP有什么用? Quartus II提供了In-System Sources and Probes Editor调试工具,通过JTAG接口使用该工具可以驱动和采样内部节点的逻辑 ...
- Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 极易广告投放平台v9灰黑色模版源码/广告联盟平台源码
正文: 完整标题: 广告联盟平台 极易一站式广告投放平台v9灰黑色高档网站模版源码 有需要的自行去体验吧. 程序: wwnefs.lanzouq.com/ir0TB0a3a78j 图片:
- 凡泰极客与AnyChat强强联手,共创智慧金融新体验!
近日,金融行业领先小程序生态平台技术提供商凡泰极客与金融科技音视频应用领导品牌AnyChat签署深度战略合作协议,双方将在金融场景.财富管理.客户服务.智能营销.生态建设.监管合规等方面展开深入合作, ...
最新文章
- 【java项目实战】代理模式(Proxy Pattern),静态代理 VS 动态代理
- Ubuntu16.04运行VoxelNetRos
- 监听js变量的变化_Node.js从零开始——事件、系统和流
- JavaScript中闭包实现的私有属性的getter()和setter()方法
- python消息中间件有哪些_消息中间件选型
- 程序开发基础学习四(boost::signal2 函数学习)
- arthas用的好好的,写个lambda表达式就跪了?该咋解决?
- Bezier(贝塞尔)曲线的轨迹规划在自动驾驶中的应用(二)
- github(GitHub Flavored Markdown)
- 如何在SQL Server中使用数据质量服务清除主数据服务数据
- 彻底剖析C# 2.0泛型类的创建和使用
- 洛谷 P2372 yyy2015c01挑战算周长
- codewhy 深入JavaScript高级语法(资源视频全)
- 嵌入式开发的学习路径
- 经典排序算法之:堆排序
- Flutter 设置 App 的主色调与字体
- nmcli命令详解>>>创建热点,连接wifi,管理连接等
- 数据库-Mysql-Ⅰ
- 2022 Robocom世界机器人开发者大赛 CAIP编程赛道 本科组-省赛 挨打记录+题解
- 高效能计算机系统设计与应用,应用驱动的高效能计算机系统的研究与发展