DevSecOps:老的安全漏洞仍在施展新的伎俩
原文发表于 DevOps.com.
在网络安全领域,我们经常像猎人一样。我们的眼睛紧紧盯着地平线,扫描下一个爆发性的漏洞(以及正确的设计工具、技术和战术来阻止它)。然而,这种前瞻性的关注可能会产生令人惊讶的效果,抑制我们的整体安全意识,使我们对周围存在的深层次危险视而不见,而攻击者也非常乐意利用这些危险。
我经常把现代网络安全比作一套凯夫拉护甲。凯夫拉纤维看似空灵的特性可以阻挡高速子弹和各种现代强大的武器装备。它甚至可能使穿戴者感到有些无敌。然而,相对古老的弓箭武器系统,即公元前1000年左右首次制作的武器,往往可以穿透这种保护。一把锋利的刀,可能是世界上仅次于岩石的第二古老的武器,可以直接切开凯夫拉纤维,就像切碎一件棉质运动衫一样容易。然后还有一个小问题,就是凯夫拉纤维无法保护人体的每一毫米。如果攻击者能找到任何缝隙进行破坏性打击,他们就会 "很像软件中的小的、可利用的区域。
在网络安全方面,许多组织同样容易受到已有8年或10年历史的系统缺陷的影响,用现代计算机术语来说,这使他们有资格获得金表和退休金。但是,如果你认为这些老系统上的缺陷是无害的,那么你的未来可能会有一两个蓝屏的死亡。
一个老兵的弱点
jQuery是最古老和最常用的JavaScript库之一,它是一种开源资源,有助于从事件处理到DOM树的遍历和操作,再到生成动画的一切。它是一个相当重要的工具,并且已经使用了很多年了。人们认为,由于该库在这一点上已经非常成熟,所以它一定是经过了完全的审查,并消除了任何漏洞。
可悲的是,情况并非如此。默认情况下,大多数依赖jQuery的应用程序使用内部库的指示进行验证。例如,对于Apache服务器,这意味着检查.htaccess文件。很少有开发者在设计使用Apache的程序时,可能会想到要检查以确保Apache服务器的更新包括.htaccess。毕竟,Apache为什么要删除这个多年来一直是安全基石的关键组件?
虽然看起来很奇怪,但这正是Apache在2.3.9版本中的做法。显然,每次有程序需要运行时,都要检查.htaccess配置文件,这使事情变得太慢了。删除它可以提高Apache的整体性能,但也产生了一个大多数人不知道的漏洞。如果开发人员懒得检查他们的应用程序是否仍然可以到达.htaccess文件,大多数请求将被简单地接受,而无需审查。
最近,专家们发现了这个漏洞,并指出,使用这个漏洞可以让未经授权的用户在所谓的安全系统上上传和运行 shell 或几乎任何类型的代码。因此,10 月份发布了名为 CVE-2018-9206 的漏洞警报。但是,安全研究人员很容易就发现了这个漏洞,这意味着以寻找类似漏洞为唯一目的的专业黑客很可能已经发现了这个漏洞。毕竟,尽管事后进行了宣传、补丁和修复,但仅仅几周后就发生了一起类似的高影响攻击事件,在每周有数百万人下载的流行 NPM lib 上释放了挟持比特币的恶意软件。
管家做到了
像jQuery一样,Jenkins是一个开源产品,也是同类产品中最受欢迎的一个。由于它有一个类似仆人的有用的名字,Jenkins被许多行业的开发团队用作自动化服务器是有道理的。当Jenkins运行正常时,它是一个非常有用的工具。然而,新发现的缺陷,以及最近发现的一个真正大规模的加密货币开采行动,表明Jenkins也在为坏人做大量工作。
最危险的Jenkins漏洞之一被称为Java反序列化,它被指定为CVE-2017-1000353。这是一个复杂的攻击,但也是一个已经存在了一段时间的攻击。攻击者必须提交两个请求。第一个开始一个双向的下载通道,最初被服务器拒绝。然而,第二个请求增加了一个上传通道,其中包含攻击者想要的任何命令的有效载荷,并利用了payload.jar脚本。一旦发送第二个请求,在未打补丁的Jenkins服务器上允许通信。
即使在打过补丁的服务器上,也存在漏洞。例如,当在Windows环境中运行Jenkins时,默认情况下它使用NT AUTHORITY/SYSTEM账户来授权用户。这很危险,因为SYSTEM在Windows服务器上被授予全部权限。开发人员可以改变授权账户,但往往不这样做。他们不这样做的逻辑是基于这样一个事实,即Jenkins已经存在了很长时间,所以人们认为任何漏洞在很久以前就已经被修补了。
最近,一名黑客利用这些老化的Jenkins漏洞入侵了几个服务器。其目的是在他们能找到的每一个有漏洞的Jenkins实例上添加一个加密货币矿工程序。这些矿工在不断寻找加密货币的过程中占用了宝贵的计算资源。到目前为止,他们已经找到了大约10800个Monero加密货币,价值近350万美元。
旧的东西又是新的
在这两个例子中,漏洞被投机取巧的攻击者在许多人认为是安全的平台上利用了。在防御方面,由于缺乏安全意识的开发,使得这些黑客能够为旧的伎俩注入新的活力。尽管新一轮的成功利用了老化的漏洞,但许多组织并没有制定计划来阻止这种恶性循环。
东西是旧的并不意味着它是无害的。常见的库和资源已经存在多年,但并不意味着它们是完全安全的(例如,目前OWASP排名前十的第9条是专门用来处理使用已知漏洞的组件的)。只有通过勤奋和持续的安全培训,我们才能保护自己不仅不受匍匐在地平线上的危险威胁的影响,而且还能保护那些已经隐蔽地进入我们自己后院的威胁。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
原文发表于 DevOps.com.
在网络安全领域,我们经常像猎人一样。我们的眼睛紧紧盯着地平线,扫描下一个爆发性的漏洞(以及正确的设计工具、技术和战术来阻止它)。然而,这种前瞻性的关注可能会产生令人惊讶的效果,抑制我们的整体安全意识,使我们对周围存在的深层次危险视而不见,而攻击者也非常乐意利用这些危险。
我经常把现代网络安全比作一套凯夫拉护甲。凯夫拉纤维看似空灵的特性可以阻挡高速子弹和各种现代强大的武器装备。它甚至可能使穿戴者感到有些无敌。然而,相对古老的弓箭武器系统,即公元前1000年左右首次制作的武器,往往可以穿透这种保护。一把锋利的刀,可能是世界上仅次于岩石的第二古老的武器,可以直接切开凯夫拉纤维,就像切碎一件棉质运动衫一样容易。然后还有一个小问题,就是凯夫拉纤维无法保护人体的每一毫米。如果攻击者能找到任何缝隙进行破坏性打击,他们就会 "很像软件中的小的、可利用的区域。
在网络安全方面,许多组织同样容易受到已有8年或10年历史的系统缺陷的影响,用现代计算机术语来说,这使他们有资格获得金表和退休金。但是,如果你认为这些老系统上的缺陷是无害的,那么你的未来可能会有一两个蓝屏的死亡。
一个老兵的弱点
jQuery是最古老和最常用的JavaScript库之一,它是一种开源资源,有助于从事件处理到DOM树的遍历和操作,再到生成动画的一切。它是一个相当重要的工具,并且已经使用了很多年了。人们认为,由于该库在这一点上已经非常成熟,所以它一定是经过了完全的审查,并消除了任何漏洞。
可悲的是,情况并非如此。默认情况下,大多数依赖jQuery的应用程序使用内部库的指示进行验证。例如,对于Apache服务器,这意味着检查.htaccess文件。很少有开发者在设计使用Apache的程序时,可能会想到要检查以确保Apache服务器的更新包括.htaccess。毕竟,Apache为什么要删除这个多年来一直是安全基石的关键组件?
虽然看起来很奇怪,但这正是Apache在2.3.9版本中的做法。显然,每次有程序需要运行时,都要检查.htaccess配置文件,这使事情变得太慢了。删除它可以提高Apache的整体性能,但也产生了一个大多数人不知道的漏洞。如果开发人员懒得检查他们的应用程序是否仍然可以到达.htaccess文件,大多数请求将被简单地接受,而无需审查。
最近,专家们发现了这个漏洞,并指出,使用这个漏洞可以让未经授权的用户在所谓的安全系统上上传和运行 shell 或几乎任何类型的代码。因此,10 月份发布了名为 CVE-2018-9206 的漏洞警报。但是,安全研究人员很容易就发现了这个漏洞,这意味着以寻找类似漏洞为唯一目的的专业黑客很可能已经发现了这个漏洞。毕竟,尽管事后进行了宣传、补丁和修复,但仅仅几周后就发生了一起类似的高影响攻击事件,在每周有数百万人下载的流行 NPM lib 上释放了挟持比特币的恶意软件。
管家做到了
像jQuery一样,Jenkins是一个开源产品,也是同类产品中最受欢迎的一个。由于它有一个类似仆人的有用的名字,Jenkins被许多行业的开发团队用作自动化服务器是有道理的。当Jenkins运行正常时,它是一个非常有用的工具。然而,新发现的缺陷,以及最近发现的一个真正大规模的加密货币开采行动,表明Jenkins也在为坏人做大量工作。
最危险的Jenkins漏洞之一被称为Java反序列化,它被指定为CVE-2017-1000353。这是一个复杂的攻击,但也是一个已经存在了一段时间的攻击。攻击者必须提交两个请求。第一个开始一个双向的下载通道,最初被服务器拒绝。然而,第二个请求增加了一个上传通道,其中包含攻击者想要的任何命令的有效载荷,并利用了payload.jar脚本。一旦发送第二个请求,在未打补丁的Jenkins服务器上允许通信。
即使在打过补丁的服务器上,也存在漏洞。例如,当在Windows环境中运行Jenkins时,默认情况下它使用NT AUTHORITY/SYSTEM账户来授权用户。这很危险,因为SYSTEM在Windows服务器上被授予全部权限。开发人员可以改变授权账户,但往往不这样做。他们不这样做的逻辑是基于这样一个事实,即Jenkins已经存在了很长时间,所以人们认为任何漏洞在很久以前就已经被修补了。
最近,一名黑客利用这些老化的Jenkins漏洞入侵了几个服务器。其目的是在他们能找到的每一个有漏洞的Jenkins实例上添加一个加密货币矿工程序。这些矿工在不断寻找加密货币的过程中占用了宝贵的计算资源。到目前为止,他们已经找到了大约10800个Monero加密货币,价值近350万美元。
旧的东西又是新的
在这两个例子中,漏洞被投机取巧的攻击者在许多人认为是安全的平台上利用了。在防御方面,由于缺乏安全意识的开发,使得这些黑客能够为旧的伎俩注入新的活力。尽管新一轮的成功利用了老化的漏洞,但许多组织并没有制定计划来阻止这种恶性循环。
东西是旧的并不意味着它是无害的。常见的库和资源已经存在多年,但并不意味着它们是完全安全的(例如,目前OWASP排名前十的第9条是专门用来处理使用已知漏洞的组件的)。只有通过勤奋和持续的安全培训,我们才能保护自己不仅不受匍匐在地平线上的危险威胁的影响,而且还能保护那些已经隐蔽地进入我们自己后院的威胁。
原文发表于 DevOps.com.
在网络安全领域,我们经常像猎人一样。我们的眼睛紧紧盯着地平线,扫描下一个爆发性的漏洞(以及正确的设计工具、技术和战术来阻止它)。然而,这种前瞻性的关注可能会产生令人惊讶的效果,抑制我们的整体安全意识,使我们对周围存在的深层次危险视而不见,而攻击者也非常乐意利用这些危险。
我经常把现代网络安全比作一套凯夫拉护甲。凯夫拉纤维看似空灵的特性可以阻挡高速子弹和各种现代强大的武器装备。它甚至可能使穿戴者感到有些无敌。然而,相对古老的弓箭武器系统,即公元前1000年左右首次制作的武器,往往可以穿透这种保护。一把锋利的刀,可能是世界上仅次于岩石的第二古老的武器,可以直接切开凯夫拉纤维,就像切碎一件棉质运动衫一样容易。然后还有一个小问题,就是凯夫拉纤维无法保护人体的每一毫米。如果攻击者能找到任何缝隙进行破坏性打击,他们就会 "很像软件中的小的、可利用的区域。
在网络安全方面,许多组织同样容易受到已有8年或10年历史的系统缺陷的影响,用现代计算机术语来说,这使他们有资格获得金表和退休金。但是,如果你认为这些老系统上的缺陷是无害的,那么你的未来可能会有一两个蓝屏的死亡。
一个老兵的弱点
jQuery是最古老和最常用的JavaScript库之一,它是一种开源资源,有助于从事件处理到DOM树的遍历和操作,再到生成动画的一切。它是一个相当重要的工具,并且已经使用了很多年了。人们认为,由于该库在这一点上已经非常成熟,所以它一定是经过了完全的审查,并消除了任何漏洞。
可悲的是,情况并非如此。默认情况下,大多数依赖jQuery的应用程序使用内部库的指示进行验证。例如,对于Apache服务器,这意味着检查.htaccess文件。很少有开发者在设计使用Apache的程序时,可能会想到要检查以确保Apache服务器的更新包括.htaccess。毕竟,Apache为什么要删除这个多年来一直是安全基石的关键组件?
虽然看起来很奇怪,但这正是Apache在2.3.9版本中的做法。显然,每次有程序需要运行时,都要检查.htaccess配置文件,这使事情变得太慢了。删除它可以提高Apache的整体性能,但也产生了一个大多数人不知道的漏洞。如果开发人员懒得检查他们的应用程序是否仍然可以到达.htaccess文件,大多数请求将被简单地接受,而无需审查。
最近,专家们发现了这个漏洞,并指出,使用这个漏洞可以让未经授权的用户在所谓的安全系统上上传和运行 shell 或几乎任何类型的代码。因此,10 月份发布了名为 CVE-2018-9206 的漏洞警报。但是,安全研究人员很容易就发现了这个漏洞,这意味着以寻找类似漏洞为唯一目的的专业黑客很可能已经发现了这个漏洞。毕竟,尽管事后进行了宣传、补丁和修复,但仅仅几周后就发生了一起类似的高影响攻击事件,在每周有数百万人下载的流行 NPM lib 上释放了挟持比特币的恶意软件。
管家做到了
像jQuery一样,Jenkins是一个开源产品,也是同类产品中最受欢迎的一个。由于它有一个类似仆人的有用的名字,Jenkins被许多行业的开发团队用作自动化服务器是有道理的。当Jenkins运行正常时,它是一个非常有用的工具。然而,新发现的缺陷,以及最近发现的一个真正大规模的加密货币开采行动,表明Jenkins也在为坏人做大量工作。
最危险的Jenkins漏洞之一被称为Java反序列化,它被指定为CVE-2017-1000353。这是一个复杂的攻击,但也是一个已经存在了一段时间的攻击。攻击者必须提交两个请求。第一个开始一个双向的下载通道,最初被服务器拒绝。然而,第二个请求增加了一个上传通道,其中包含攻击者想要的任何命令的有效载荷,并利用了payload.jar脚本。一旦发送第二个请求,在未打补丁的Jenkins服务器上允许通信。
即使在打过补丁的服务器上,也存在漏洞。例如,当在Windows环境中运行Jenkins时,默认情况下它使用NT AUTHORITY/SYSTEM账户来授权用户。这很危险,因为SYSTEM在Windows服务器上被授予全部权限。开发人员可以改变授权账户,但往往不这样做。他们不这样做的逻辑是基于这样一个事实,即Jenkins已经存在了很长时间,所以人们认为任何漏洞在很久以前就已经被修补了。
最近,一名黑客利用这些老化的Jenkins漏洞入侵了几个服务器。其目的是在他们能找到的每一个有漏洞的Jenkins实例上添加一个加密货币矿工程序。这些矿工在不断寻找加密货币的过程中占用了宝贵的计算资源。到目前为止,他们已经找到了大约10800个Monero加密货币,价值近350万美元。
旧的东西又是新的
在这两个例子中,漏洞被投机取巧的攻击者在许多人认为是安全的平台上利用了。在防御方面,由于缺乏安全意识的开发,使得这些黑客能够为旧的伎俩注入新的活力。尽管新一轮的成功利用了老化的漏洞,但许多组织并没有制定计划来阻止这种恶性循环。
东西是旧的并不意味着它是无害的。常见的库和资源已经存在多年,但并不意味着它们是完全安全的(例如,目前OWASP排名前十的第9条是专门用来处理使用已知漏洞的组件的)。只有通过勤奋和持续的安全培训,我们才能保护自己不仅不受匍匐在地平线上的危险威胁的影响,而且还能保护那些已经隐蔽地进入我们自己后院的威胁。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
原文发表于 DevOps.com.
在网络安全领域,我们经常像猎人一样。我们的眼睛紧紧盯着地平线,扫描下一个爆发性的漏洞(以及正确的设计工具、技术和战术来阻止它)。然而,这种前瞻性的关注可能会产生令人惊讶的效果,抑制我们的整体安全意识,使我们对周围存在的深层次危险视而不见,而攻击者也非常乐意利用这些危险。
我经常把现代网络安全比作一套凯夫拉护甲。凯夫拉纤维看似空灵的特性可以阻挡高速子弹和各种现代强大的武器装备。它甚至可能使穿戴者感到有些无敌。然而,相对古老的弓箭武器系统,即公元前1000年左右首次制作的武器,往往可以穿透这种保护。一把锋利的刀,可能是世界上仅次于岩石的第二古老的武器,可以直接切开凯夫拉纤维,就像切碎一件棉质运动衫一样容易。然后还有一个小问题,就是凯夫拉纤维无法保护人体的每一毫米。如果攻击者能找到任何缝隙进行破坏性打击,他们就会 "很像软件中的小的、可利用的区域。
在网络安全方面,许多组织同样容易受到已有8年或10年历史的系统缺陷的影响,用现代计算机术语来说,这使他们有资格获得金表和退休金。但是,如果你认为这些老系统上的缺陷是无害的,那么你的未来可能会有一两个蓝屏的死亡。
一个老兵的弱点
jQuery是最古老和最常用的JavaScript库之一,它是一种开源资源,有助于从事件处理到DOM树的遍历和操作,再到生成动画的一切。它是一个相当重要的工具,并且已经使用了很多年了。人们认为,由于该库在这一点上已经非常成熟,所以它一定是经过了完全的审查,并消除了任何漏洞。
可悲的是,情况并非如此。默认情况下,大多数依赖jQuery的应用程序使用内部库的指示进行验证。例如,对于Apache服务器,这意味着检查.htaccess文件。很少有开发者在设计使用Apache的程序时,可能会想到要检查以确保Apache服务器的更新包括.htaccess。毕竟,Apache为什么要删除这个多年来一直是安全基石的关键组件?
虽然看起来很奇怪,但这正是Apache在2.3.9版本中的做法。显然,每次有程序需要运行时,都要检查.htaccess配置文件,这使事情变得太慢了。删除它可以提高Apache的整体性能,但也产生了一个大多数人不知道的漏洞。如果开发人员懒得检查他们的应用程序是否仍然可以到达.htaccess文件,大多数请求将被简单地接受,而无需审查。
最近,专家们发现了这个漏洞,并指出,使用这个漏洞可以让未经授权的用户在所谓的安全系统上上传和运行 shell 或几乎任何类型的代码。因此,10 月份发布了名为 CVE-2018-9206 的漏洞警报。但是,安全研究人员很容易就发现了这个漏洞,这意味着以寻找类似漏洞为唯一目的的专业黑客很可能已经发现了这个漏洞。毕竟,尽管事后进行了宣传、补丁和修复,但仅仅几周后就发生了一起类似的高影响攻击事件,在每周有数百万人下载的流行 NPM lib 上释放了挟持比特币的恶意软件。
管家做到了
像jQuery一样,Jenkins是一个开源产品,也是同类产品中最受欢迎的一个。由于它有一个类似仆人的有用的名字,Jenkins被许多行业的开发团队用作自动化服务器是有道理的。当Jenkins运行正常时,它是一个非常有用的工具。然而,新发现的缺陷,以及最近发现的一个真正大规模的加密货币开采行动,表明Jenkins也在为坏人做大量工作。
最危险的Jenkins漏洞之一被称为Java反序列化,它被指定为CVE-2017-1000353。这是一个复杂的攻击,但也是一个已经存在了一段时间的攻击。攻击者必须提交两个请求。第一个开始一个双向的下载通道,最初被服务器拒绝。然而,第二个请求增加了一个上传通道,其中包含攻击者想要的任何命令的有效载荷,并利用了payload.jar脚本。一旦发送第二个请求,在未打补丁的Jenkins服务器上允许通信。
即使在打过补丁的服务器上,也存在漏洞。例如,当在Windows环境中运行Jenkins时,默认情况下它使用NT AUTHORITY/SYSTEM账户来授权用户。这很危险,因为SYSTEM在Windows服务器上被授予全部权限。开发人员可以改变授权账户,但往往不这样做。他们不这样做的逻辑是基于这样一个事实,即Jenkins已经存在了很长时间,所以人们认为任何漏洞在很久以前就已经被修补了。
最近,一名黑客利用这些老化的Jenkins漏洞入侵了几个服务器。其目的是在他们能找到的每一个有漏洞的Jenkins实例上添加一个加密货币矿工程序。这些矿工在不断寻找加密货币的过程中占用了宝贵的计算资源。到目前为止,他们已经找到了大约10800个Monero加密货币,价值近350万美元。
旧的东西又是新的
在这两个例子中,漏洞被投机取巧的攻击者在许多人认为是安全的平台上利用了。在防御方面,由于缺乏安全意识的开发,使得这些黑客能够为旧的伎俩注入新的活力。尽管新一轮的成功利用了老化的漏洞,但许多组织并没有制定计划来阻止这种恶性循环。
东西是旧的并不意味着它是无害的。常见的库和资源已经存在多年,但并不意味着它们是完全安全的(例如,目前OWASP排名前十的第9条是专门用来处理使用已知漏洞的组件的)。只有通过勤奋和持续的安全培训,我们才能保护自己不仅不受匍匐在地平线上的危险威胁的影响,而且还能保护那些已经隐蔽地进入我们自己后院的威胁。
资源
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
%20(1).avif)
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
