聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

自去年，使用 .gov 和 .mil 域名的多个美国政府站点都托管着色情和垃圾内容。安全研究员 Zach Edwards 分析后发现这些网站共用一个软件厂商。

“色情合众国”

Edwards 发现这些 .gov 和 .mil 域名都在使用政府承包商 Laserfiche 提供的同一款软件产品。Laserfiche 向FBI、CIA、美国财政部、军方和其它政府机构提供服务。它们使用的同一款产品是 Laserefiche Forms，该产品含有一个漏洞可导致威胁行动者在政府网站推送恶意和垃圾内容。

Edwards 指出，“这个漏洞在 .gov和.mil 域名中创建钓鱼诱饵，向访客推送恶意重定向，并可能利用其它 exploit 攻击受害者。一年来，他一直都在追踪该缺陷，比如看到美国参议员 Jon Tester 和明尼苏达州国民卫队向用户发送伟哥产品页面。他分享漏洞演示视频指出，”很可能在50个不同的政府子域名中“看到这种行为。

而这并非垃圾推送人员利用的唯一攻击向量。此前，攻击者滥用政府网站的开放重定向功能提高自己的内容搜索排名并将用户重定向至色情网站。

发送清理工具但并未修复所有版本

Laserfiche 公司目前已发布关于该漏洞的安全公告，并给出如何清理网站上的垃圾内容指南。

该公司指出，问题的根因在于一个未认证的文件上传漏洞。Laserfiche Forms 包含一个公开表格，其中一个字段是文件上传。未认证行动者可访问该字段，将文件上传至用户的web门户并使内容可在webi临时访问。

该公司发布安全公告指出，“安全公告中说明的漏洞已被利用，未认证第三方可使用 Laserfiche Forms 临时托管文件以分发。有效的客户表单提交数据不受影响且第三方无法访问。安全更新减少了临时文件下载链接活跃的地方的时间框架，修复该漏洞。“

某些政府客户似乎已按照修复步骤，之前访问搜索结果显示的是垃圾内容，而现在却抛出Laserfiche Forms 实例错误信息。

然而，Edwards 并不满意这样的结果，因为 Laserfiche 并未修复仍在广泛使用的产品的所有版本。Laserfiche 公司指出，“请注意，并非更新的所有版本均可立即使用。我们认为有必要通知解决方案提供商和客户关于该漏洞的情况以及当前可用的更新情况。Laserfiche Forms 之前版本的安全更新将于不久后发布。”

Laserfiche 公司已发布清理工具，供客户检测越权上传到网站的内容。

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！或直接点击“原文链接”购买。

如下是本书相关讲解:

奇安信代码安全实验室主任黄永刚在2021年北京网络安全大会上也发布了实验室在软件供应链安全方面相关的研究成果。

推荐阅读

持续集成商 Travis CI 爆严重漏洞，数千开源项目机密或被盗

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

微软在 Linux 虚拟机偷偷安装Azure App，后修复严重漏洞但Linux虚拟机难以修复

在线阅读版：《2021中国软件供应链安全分析报告》全文

因使用五年前的老旧代码，Azure 容器险遭黑客接管，微软已修复

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接：

https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/

题图：Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~