资讯专栏INFORMATION COLUMN

几乎影响所有编译器!“木马源”漏洞可隐藏在开源代码中引发供应链攻击

weapon / 3162人阅读

摘要:利用技术研究人员表示至少有种不同的技术可以利用源代码标记的视觉重新排序。而作为商业软件供应商需要满足的关键要点,是确保软件供应链安全,保证源代码安全性及完整性,定期对应用程序进行安全测试和修复,确保软件源组件及开源框架等来源安全可信。

尽管 CVE 计划尚未为此漏洞分配严重性,但其云、服务器和数据中心产品受该漏洞影响的Atlassian 已根据Atlassian 严重性级别将其严重性评为“高” 。但红帽产品安全部门根据其CVSS v3严重性指标,将此漏洞评为具有中等安全影响。

利用技术

研究人员表示至少有3种不同的技术可以利用源代码标记的视觉重新排序。

1-早期返回:在早期返回利用技术中,对手将一个真正的返回语句伪装成一个注释或字符串字面量,因此他们可以使一个函数比看起来更早地返回。它通过执行在注释中显示的return语句,导致函数短路。

2-注释掉:在这种漏洞利用技术中,看起来是合法代码的文本实际上存在于注释中,因此永远不会执行。这允许对手向审查者展示一些看起来正在执行但从编译器或解释器的角度来看并不存在的代码。

3-扩展字符串:此漏洞利用导致部分字符串文字在视觉上显示为代码。看起来在字符串文字之外的文本实际上位于其中,并且具有与注释掉相同的效果,从而导致字符串比较失败。

这些攻击在 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 编程语言中成功实施概念验证攻击,并在Ubuntu上的gcc v7.5.0和MacOS上的Apple clang v12.0.5上成功验证了这些攻击。

在上面的例子中,研究人员展示了如何在C++中执行同形文字攻击。他们使用了两个看起来相似但实际上不同的 H,蓝色的拉丁语H和红色的西里尔字母Н。当使用clang++编译时,该程序输出文本“Goodbye, World!”研究人员表示。

通过这个例子可以看出,“攻击者可以在导入到目标的全局命名空间的上游包中定义这样的同形函数,然后从受害者代码中调用该函数。”

加强防御

研究人员建议的最简单的防御策略是禁止在语言规范和实现这些语言的编译器中使用文本方向控制字符。为了进一步解释该策略,他们将其分为三个部分:

支持Unicode的编译器、解释器和构建管道需要对注释或字符串字面量中的未终止双向控制字符以及带有混合脚本易混淆字符的标识符显示错误或警告。

语言规范应该正式禁止在注释和字符串字面量中使用未终止的双向控制字符。

代码编辑器和存储库前端应该用视觉符号或警告使双向控制字符和混合脚本易混淆字符具有可辨性。

目前尽管有近20家软件供应商意识到了这一威胁,但多个编译器仍无法阻止Trojan Source攻击方法。由于许多维护者仍在实施补丁,这两位研究人员建议政府和公司确定他们的供应商,并迫使他们采取必要的防御措施。

目前,维护代码存储库的三家公司目前正在部署针对特洛伊木马源的防御措施。

目前开源软件呈现两个特点,一个是量多另一个是成长速度快。在日常软件开发中更是离不开开源组件,当今软件中超过90%的应用程序包含来自第三方库的代码。而作为商业软件供应商需要满足的关键要点,是确保软件供应链安全,保证源代码安全性及完整性,定期对应用程序进行安全测试和修复,确保软件源组件及开源框架等来源安全可信。

参读链接:

www.bleepingcomputer.com/news/securi…

thehackernews.com/2021/11/new…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122840.html

相关文章

  • 每周下载数百万次!恶意软件包感染Linux和Windows设备引发应链攻击

    摘要:据开发者称,他的帐户被劫持并用于部署该库的三个恶意版本。报告指出,恶意软件包被称为编目为以及和编目为。研究人员无法完全确定恶意行为者计划如何针对开发人员。月份网络攻击者对进行了加密挖掘攻击月份发现了加密挖掘恶意软件。 UA-Parser-JS 项目被劫持安装恶意软件 10月22日,攻击者发布了恶意版本的UA-Parser-JS NPM库,以在Linux和Windows设备上安装加...

    姘搁『 评论0 收藏0
  • WordPress插件漏洞影响100万个站点,或永久删除几乎所有数据库内容

    摘要:插件的开发人员意识到需要重新访问整个。同时,所有可能被窃取的密钥都会立即失效,站点所有者被迫生成新的密钥。联合创始人表示,该事件凸显了漏洞管理的复杂性。 虽然/wp-json/omapp/v1/support端点的情况更糟,但它并不是唯一容易被利用的不安全REST-API端点。 WordPress 插件的开发人员意识到需要重新访问整个API。 因此建议用户在接下来的几周内安...

    wenzi 评论0 收藏0
  • 超三分之一外部攻击通过利用漏洞进行 第三方软件风险显著增加

    摘要:根据对个安全决策的调查,超过三分之一的外部攻击是通过利用漏洞进行的,而另外三分之一来自对第三方服务或软件制造商提供的软件漏洞进行破坏。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body...

    oneasp 评论0 收藏0
  • EHR供应商披露安全问题 警示医疗系统软件安全风险

    摘要:报告患者门户被黑,飞利浦揭示安全漏洞,医疗系统软件安全风险不断暴露。与此同时,在一个单独的开发中,医疗技术供应商飞利浦医疗保健和网络安全和基础设施安全机构周四各自发布了关于飞利浦电子医疗记录系统版本及之前中发现的两个漏洞的安全警告。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-...

    zhjx922 评论0 收藏0
  • 隐藏近10年 惠普警告Sudo漏洞给予攻击者Aruba平台Root权限

    摘要:错误是基于堆的缓冲区溢出,它允许任何本地用户欺骗以模式运行。静态代码安全检测不但可以查找定位代码缺陷问题,同时还能检测出一些不需要运行即可发现的问题,如注入漏洞缓冲区溢出等。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;c...

    jlanglang 评论0 收藏0

发表评论

0条评论

weapon

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<