# 本周安全态势综述
OSCS 社区共收录安全漏洞40个,公开漏洞值得关注的是 Spring Data REST 敏感信息泄露漏洞(CVE-2022-31679),Apache Kafka 拒绝服务漏洞(CVE-2022-34917),Apache InLong 反序列化漏洞(CVE-2022-40955),Linux kernel 释放后重用漏洞(Dirtycred)(CVE-2022-2588)。
针对 NPM 、PyPI仓库,共监测到 4 次投毒事件,涉及 46 个不同版本的 NPM 、PyPI组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
# 重要安全漏洞列表
Spring Data REST 敏感信息泄露漏洞(CVE-2022-31679)
Spring Data REST是一个用于构建restful服务的 Spring Web 框架。
在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完整,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。
攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-12709
Apache Kafka 拒绝服务漏洞(CVE-2022-34917)
Apache Kafka是一个高度可扩展的分布式消息队列。
在Apache Kafka受影响版本中,允许未经身份验证的恶意客户端在Broker上分配大量内存,这可能导致Broker内存不足进而导致拒绝服务。
攻击场景:
1)没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。
2)具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。
3)具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。
参考链接:https://www.oscs1024.com/hd/MPS-2022-42906
Apache InLong 反序列化漏洞(CVE-2022-40955)
Apache InLong 是一款针对海量数据的一站式集成框架。
受影响版本 Apache InLong 中 MySQL 中数据在反序列化时缺少过滤,导致能指定 MySQL JDBC 连接 URL 参数的攻击者可能会在 Apache InLong 服务器上执行远程代码。
攻击者可利用该漏洞进行远程代码执行,甚至接管服务器。
参考链接:https://www.oscs1024.com/hd/MPS-2022-57298
Linux kernel 释放后重用漏洞(Dirtycred)(CVE-2022-2588)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
在Linux 内核的 net/sched/cls_route.c 实现的 route4_change 中发现了一个漏洞,该漏洞源于释放后重用,本地攻击者利用该漏洞会导致系统崩溃,可能会造成本地特权升级问题。需要用户或网卡空间具有 CAP_NET_ADMIN 的特权能力。
参考链接:https://www.oscs1024.com/hd/MPS-2022-52796
# 投毒风险监测
OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。
本周新发现 46 个不同版本的恶意组件,其中
74%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
26%的投毒组件为:非预期网络访问(请求指定指定服务器,无危害)
# 其他资讯
1.加密货币交易平台的多个组件被投毒
https://www.bleepingcomputer.com/news/security/npm-packages-used-by-crypto-exchanges-compromised/
2.被忽视15年的CVE-2007-4559 Python漏洞 导致35万项目陷入代码执行风险
https://www.bleepingcomputer.com/news/security/unpatched-15-year-old-python-bug-allows-code-execution-in-350k-projects/