OSCS 开源安全周报第 22 期:NuGet 仓库中被发现 13.5 万个包含钓鱼地址的组件包
本周安全态势综述
OSCS 社区共收录安全漏洞 15 个,公开漏洞值得关注的是 Jenkins Google Login Plugin 存在开放重定向漏洞(CVE-2022-46683),Netty <4.1.86.Final 存在拒绝服务漏洞(CVE-2022-41881),Apache Atlas import 功能存在路径遍历漏洞(CVE-2022-34271),Apache Zeppelin 任意文件删除漏洞(CVE-2021-28655)。
针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;Checkmarx 和 Illustria 的研究人员发现超过 14.4 万个包含钓鱼地址的软件包,其中 13.5 万个位于 NuGet 仓库。
重要安全漏洞列表
1、Jenkins Google Login Plugin 存在开放重定向漏洞(CVE-2022-46683)
Jenkins 是一个用 Java 开发的开源自动化服务器,Google Login 是一款支持用户使用 Google 帐户登录 Jenkins 的插件。
Google Login Plugin 的受影响版本中由于成功登录后的重定向 URL 没有正确指向 Jenkins,攻击者可利用此漏洞将经过登录验证的用户的 url 重定向到恶意站点进行网络钓鱼攻击,从而获取用户 token 等敏感信息,使用用户身份执行恶意操作等。
参考链接:https://www.oscs1024.com/hd/MPS-2022-66985
2、Netty <4.1.86.Final 存在拒绝服务漏洞(CVE-2022-41881)
Netty 是一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。
Netty 4.1.86.Final 之前版本中的 HaProxyMessageDecoder 模块由于未对用户传入的附加数据(TLV)的递归长度进行有效限制,当解析循环嵌套的 PP2_TYPE_SSL 类型的 TLV 数据时会由于栈的缓冲区溢出造成拒绝服务。如果 HAProxyMessageDecoder 用作 Netty ChannelPipeline 的一部分解析恶意数据会捕获 StackOverflowError 异常,如果直接解析恶意数据则会抛出 Exception 异常或服务崩溃。攻击者可通过向 netty 发送恶意 TLV 数据造成拒绝服务,用户可通过使用自定义的 HaProxyMessageDecoder 缓解此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-2022-58518
3、Apache Atlas import 功能存在路径遍历漏洞(CVE-2022-34271)
Apache Atlas 是一款元数据管理和数据治理平台。
Atlas import API 支持将 zip 文件解压缩到服务器目录的部署选项。经过 Apache Atlas 身份验证的攻击者可以利用 import 功能中的路径遍历漏洞对 Web 服务器文件系统进行写入操作。
参考链接:https://www.oscs1024.com/hd/MPS-2022-19590
4、Apache Zeppelin 任意文件删除漏洞(CVE-2021-28655)
Apache Zeppelin 是一款基于 Web 可实现交互式数据分析的 notebook 产品。
在 Apache Zeppelin 0.10.1 及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对 InterpreterSettingManager 类 remove 方法中 id 参数进行正确校验,攻击者可通过构造包含../的参数实现路径穿越,利用漏洞删除 zeppelin 相关或其他任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-2021-22347
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 25 个不同版本的恶意组件:
100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
其他资讯
Checkmarx 和 Illustria 的研究人员发现超过 14.4 万个包含钓鱼地址的恶意软件包,其中 13.5 万个位于 NuGet 仓库
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
具体订阅方式详见:
评论