CloudFlare CDNJS漏洞差點(diǎn)造成大規(guī)模的供應(yīng)鏈攻擊

數(shù)字化時(shí)代，軟件無(wú)處不在。軟件如同社會(huì)中的“虛擬人”，已經(jīng)成為支撐社會(huì)正常運(yùn)轉(zhuǎn)的最基本元素之一，軟件的安全性問(wèn)題也正在成為當(dāng)今社會(huì)的根本性、基礎(chǔ)性問(wèn)題。

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。近年來(lái)，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重。

為此，我們推出“供應(yīng)鏈安全”欄目。本欄目匯聚供應(yīng)鏈安全資訊，分析供應(yīng)鏈安全風(fēng)險(xiǎn)，提供緩解建議，為供應(yīng)鏈安全保駕護(hù)航。

上個(gè)月，Web 基礎(chǔ)設(shè)施和網(wǎng)站安全公司 Cloudflare 修復(fù)了一個(gè)嚴(yán)重漏洞，它位于互聯(lián)網(wǎng)12.7%的網(wǎng)站都在用的 CDNJS 庫(kù)中。

CDNJS 是一款免費(fèi)開(kāi)源的內(nèi)容交付網(wǎng)絡(luò) (CDN)，為4041個(gè) JavaScript 和 CSS 庫(kù)提供服務(wù)，是繼 Google Hosted Libraries 之后的第二個(gè)最流行的 JavaScript CDN。

該漏洞存在于 CDNJS 庫(kù)更新服務(wù)器中，可導(dǎo)致攻擊者執(zhí)行任意命令，從而導(dǎo)致服務(wù)器遭完全攻陷。

漏洞概述

安全研究員 RyotaK 在2021年4月6日發(fā)現(xiàn)并報(bào)告該漏洞，目前尚未發(fā)現(xiàn)該漏洞遭在野利用的證據(jù)。具體而言，該漏洞首先將程序包公布到使用 GitHub 和 npm 的 CDNJS 中以觸發(fā)路徑遍歷漏洞，并最終誘騙服務(wù)器執(zhí)行任意代碼，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

值得注意的是，CDNJS 基礎(chǔ)設(shè)施包含多個(gè)功能，可通過(guò)定期在服務(wù)器上運(yùn)行腳本的方式自動(dòng)更新庫(kù)，從各自的用戶管理 Git 倉(cāng)庫(kù)或 npm 包注冊(cè)表下載相關(guān)文件。

RyotaK 從該機(jī)制清理包路徑的過(guò)程中發(fā)現(xiàn)了一個(gè)問(wèn)題，“從發(fā)布到 npm 的 .tgz 文件中執(zhí)行路徑遍歷并覆寫在服務(wù)器上定期執(zhí)行的腳本后，可執(zhí)行任意代碼”。換句話說(shuō)，該攻擊的目標(biāo)是在倉(cāng)庫(kù)中發(fā)布特別構(gòu)造的數(shù)據(jù)包新版本，之后在將惡意包內(nèi)容復(fù)制到托管在服務(wù)器上的定期執(zhí)行的腳本文件過(guò)程中，通過(guò)CDNJS 庫(kù)更新服務(wù)器發(fā)布，從而獲得任意代碼執(zhí)行權(quán)限。

RyotaK 表示，“雖然利用該漏洞無(wú)需任何特殊技能，但可影響很多網(wǎng)站。鑒于供應(yīng)鏈中存在很多易遭利用且影響巨大的漏洞，因此我認(rèn)為這個(gè)漏洞非?？植馈！?/span>

這并非 RyotaK 在處理軟件倉(cāng)庫(kù)更新過(guò)程中發(fā)現(xiàn)的第一枚嚴(yán)重缺陷。2021年4月，RyotaK 在官方 Homebrew Cask 倉(cāng)庫(kù)中發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞，本可導(dǎo)致攻擊者在用戶機(jī)器上執(zhí)行任意代碼。