CloudFlare CDNJS漏洞差點(diǎn)造成大規(guī)模的供應(yīng)鏈攻擊

數(shù)字化時(shí)代，軟件無處不在。軟件如同社會中的“虛擬人”，已經(jīng)成為支撐社會正常運(yùn)轉(zhuǎn)的最基本元素之一，軟件的安全性問題也正在成為當(dāng)今社會的根本性、基礎(chǔ)性問題。

隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件供應(yīng)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件供應(yīng)鏈會引入一系列的安全問題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來越大。近年來，針對軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長態(tài)勢，造成的危害也越來越嚴(yán)重。

為此，我們推出“供應(yīng)鏈安全”欄目。本欄目匯聚供應(yīng)鏈安全資訊，分析供應(yīng)鏈安全風(fēng)險(xiǎn)，提供緩解建議，為供應(yīng)鏈安全保駕護(hù)航。

上個(gè)月，Web 基礎(chǔ)設(shè)施和網(wǎng)站安全公司 Cloudflare 修復(fù)了一個(gè)嚴(yán)重漏洞，它位于互聯(lián)網(wǎng)12.7%的網(wǎng)站都在用的 CDNJS 庫中。

CDNJS 是一款免費(fèi)開源的內(nèi)容交付網(wǎng)絡(luò) (CDN)，為4041個(gè) JavaScript 和 CSS 庫提供服務(wù)，是繼 Google Hosted Libraries 之后的第二個(gè)最流行的 JavaScript CDN。

該漏洞存在于 CDNJS 庫更新服務(wù)器中，可導(dǎo)致攻擊者執(zhí)行任意命令，從而導(dǎo)致服務(wù)器遭完全攻陷。

漏洞概述

安全研究員 RyotaK 在2021年4月6日發(fā)現(xiàn)并報(bào)告該漏洞，目前尚未發(fā)現(xiàn)該漏洞遭在野利用的證據(jù)。具體而言，該漏洞首先將程序包公布到使用 GitHub 和 npm 的 CDNJS 中以觸發(fā)路徑遍歷漏洞，并最終誘騙服務(wù)器執(zhí)行任意代碼，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

值得注意的是，CDNJS 基礎(chǔ)設(shè)施包含多個(gè)功能，可通過定期在服務(wù)器上運(yùn)行腳本的方式自動更新庫，從各自的用戶管理 Git 倉庫或 npm 包注冊表下載相關(guān)文件。

RyotaK 從該機(jī)制清理包路徑的過程中發(fā)現(xiàn)了一個(gè)問題，“從發(fā)布到 npm 的 .tgz 文件中執(zhí)行路徑遍歷并覆寫在服務(wù)器上定期執(zhí)行的腳本后，可執(zhí)行任意代碼”。換句話說，該攻擊的目標(biāo)是在倉庫中發(fā)布特別構(gòu)造的數(shù)據(jù)包新版本，之后在將惡意包內(nèi)容復(fù)制到托管在服務(wù)器上的定期執(zhí)行的腳本文件過程中，通過CDNJS 庫更新服務(wù)器發(fā)布，從而獲得任意代碼執(zhí)行權(quán)限。

RyotaK 表示，“雖然利用該漏洞無需任何特殊技能，但可影響很多網(wǎng)站。鑒于供應(yīng)鏈中存在很多易遭利用且影響巨大的漏洞，因此我認(rèn)為這個(gè)漏洞非?？植馈！?/span>

這并非 RyotaK 在處理軟件倉庫更新過程中發(fā)現(xiàn)的第一枚嚴(yán)重缺陷。2021年4月，RyotaK 在官方 Homebrew Cask 倉庫中發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞，本可導(dǎo)致攻擊者在用戶機(jī)器上執(zhí)行任意代碼。