查看原文
其他

PHP Composer 新漏洞可引发大规模供应链攻击

Ravie Lakshmanan 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


PHP 包管理器 Composer 的维护人员发布更新,解决其中的一个严重漏洞,可使攻击者执行任意命令并 “为每个 PHP 包安装后门”,从而造成供应链攻击。


该漏洞的编号为 CVE-2021-29472,由 SonarSource 公司的研究员于4月22日发现并报告,之后不到12小时,热修复方案发布。本周三,Composer 发布版本 2.0.13 和1.10.22 的发布信息时指出,“已修复HgDriver/HgDownloader 中的命令注入漏洞,并加固了其它 VCS 驱动和下载工具的安全性,”就我们所知,该漏洞并未遭利用。“

Composer 是 PHP 中的依赖关系管理工具,可轻松助力安装与项目相关的程序包,同时可使用户安装 Packagist 上的 PHP 应用程序。Packagist 库中集合了可在 Composer 中安装的所有公开 PHP 包。

研究人员表示,漏洞源自程序包的来源下载 URL 的处理方式不当,从而导致出现攻击者触发远程命令注入的场景。为验证这一情况,研究员利用参数注入缺陷构建了恶意 Mercurial 库的 URL,利用其 “alias” 选项执行了攻击者所选的 shell 命令。

研究人员指出,“该中心组件每个月支持超过1亿次程序包元数据请求,其中的漏洞可造成巨大影响,因为这种权限可被用于窃取维护人员的凭据或将包下载重定向至传播后门依赖关系的第三方服务器中。“

研究人员指出,其中一个漏洞在2011年11月引入,这表明自十年前 Composer 开发时,易受攻击的代码就存在。Composer 的首个阿尔法版本在2013年7月3日发布。

Composer 的主要开发人员之一 Jordi Boggiano 表示,“对 Composer 用户的直接影响有限,因为 composer.json 文件一般都受用户控制,而且来源下载 URL 仅可由用户明确信任的第三方 Composer 库提供,才能从 Composer 插件等中下载并执行源代码。”




推荐阅读
详细分析PHP源代码后门事件及其供应链安全启示美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施
详解通过 GitHub.com releases 可实施供应链攻击
神秘黑客攻陷密码管理器 Passwordstate 部署恶意软件,发动软件供应链攻击
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光




原文链接

https://thehackernews.com/2021/04/a-new-php-composer-bug-could-enable.html



题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存