資訊中心管理
你的產品中是否還有這些漏洞? 不要成為下一個 EQUIFAX 2017 十大 OpenSource 弱點
前往目錄
Open Source漏洞對應用程式的安全性來說,是最具威脅性的一年。尤其是在Equifax 如同電影般洩漏了超過1.45億筆個人資料之後

2017年,Open Source 漏洞對應用程式的安全性來說,是最具威脅性的一年。尤其是在 Equifax 如同電影般洩漏了超過 1.45 億筆個人資料,造成慘痛教訓之後。但其實除了 Equifax ,許多企業、單位都有使用 Open Source,而 WhiteSource 團隊彙整了過去一年的報告,並編制了 2017 年十大最常見漏洞列表。其中一些可能在 2016 年首次發現,但在今年真正發生攻擊。

 
WhiteSource 不僅收集了大多數開發人員和安全人員熟悉的 National Vulnerability Database (NVD)數據,還彙整了 WhiteSource 研究團隊自己的資料庫,這些資料每天都從許多公開的 Open Source 網站及建議漏洞修補的網站進行更新。
 
雖然每個開發人員都關心,是否有影響他們程式的漏洞,但我們已經根據受到漏洞影響的公司數量來排序。這個清單只整理出高風險及中風險的漏洞;另外要注意的是這個順序並沒有顯示該弱點造成了公司多大的損害,就像Equifax 案例,雖然獲得很多人的討論,但此弱點並沒有很多公司受到影響。
 
此篇文章希望能讓公司的管理團隊,盤點公司內部到底用了那些 Open Source 程式、套件或是軟體 (OSS)。若管理團隊發現公司正在開發的應用程式平均包含 70-80% 的 Open Source,可能會感到非常震驚吧!因此,強烈建議您的團隊仔細檢查各個系統或主機,查看是否還在使用下面列出的問題版本,如仍在使用問題版本應儘快進行更新或是修補漏洞。
 
 

漏洞1

The Spring Security Framework: CVE-2016-9879 和 CVE-2016-5007

因 Spring 兼具模組化和輕量級,能讓開發人員能更輕鬆地開發功能更強大的應用程式,深得開發人員喜愛,所以被廣泛應用在 Java 應用程式開發框架。

此框架通常在應用程式和資料庫之間提供介面 (interface),這對於要透過 API 來存取後端的資料來說至關重要。它反轉控制 (inversion of the control,IOC) 的設計原理廣為人知, 該原理包含分層 (layering)、輕量級容器 (lightweight container) 以及在介面上開發的能 力。
 
不幸的是,2017 年發現 Spring 有兩個嚴重的漏洞,影響了 Spring 的安全模組。在這兩種漏洞下,通用漏洞披露 (Common Vulnerabilities and Exposures,CVE) 僅得到 5.0 分,嚴重程度為中風險。
 
其一漏洞是在 Pivotal Spring Security 發現的 CVE-2016-9879,它允許攻擊者繞過重要的安全檢測,進而直接存取敏感資料。此漏洞至少影響 264 間公司的資訊安全。
 
據研究人員介紹,導致此漏洞的問題在於 Servlet 中處理路徑參數時缺乏明確性,因為當使用 getPathInfo () 函式取得路徑資料時, 實際上並非所有 Servlet containers 都包含路徑參數。這很重要,因為 Spring 的安全模組依賴於這個參數,利用比對來檢測該參數值是否符合條件。
 
Spring Security 發現的第二個漏洞是 CVE- 2016-5007。這個小小的 doozie 漏洞影響了 554 間公司,攻擊者可透過此元件寬鬆的驗證方式,直接取得敏感資料。
 
值得慶幸的是,這兩個漏洞都已做了修補, Spring 也提供了更新版本。
 

漏洞2

Jackson Databind: CVE-2017-7525

Jackson Databind 元件是過去比較常用的元件,通常被稱為“用於 Java 的最佳 JSON 解析工具",它被廣泛運用的原因是其能支援 JSON 和 Java 之間進行轉換,因此受到很多人的喜愛,所以影響範圍也很大, 至少影響了 354 間公司。畢竟你想實作一個 API 並持續使用,Jackson Databind 就是一個很重要的工具。
 
這個眾人鍾愛的元件被發現有一個反序列化的漏洞,該漏洞允許攻擊者在給 ObjectMapper 的 readValue 方法提供可以直接以程式碼進行輸入,因此列為高風險漏洞,在 CVE 分數上為 7.8。
 

漏洞3

jQuery:

WS-2017-0195

JavaScript 是軟體產業不可或缺的套件之一。因為該套件可以非常容易地操作客戶端環境中的各個套件。從本質上講,此套件為用戶提供了幾乎所有需要的東西,可直接在客戶端的網頁上,執行原本在伺服器端上才能做的任何事情,像提供欄位驗證,新增按鈕以及執行排序和計算等資料處理等。
 
但 v2.2.4 以下版本,在處理屬性名稱時, 使用了小寫運算 (lowercasing logic),導致布林屬性名稱,如果不是全部以小寫命名,可能導致無限迴圈,並超過堆疊限制 (stack call limit),進而造成此功能發生拒絕服務 (DOS)。 目前發現有 288 間公司有此漏洞,但是否導致任何重大問題或是攻擊事件,目前尚未得知。
 
 

 

 漏洞4

Zookeeper Apache: CVE-2017-5637

Zookeeper 能協助開發人員配置、同步和組織大型分散式系統,如內部或外部網路。而此漏洞可能導致阻斷服務 (Denial of Service),而目前已監測到 212 間公司有此問題,遠超過我們預期。
 
企業需先建立白名單才能進一步修復此漏洞,否則程式將容易導致阻斷服務(Denial of Service) 攻擊,我們基於此特性將其評估為中風險漏洞,CVE 為6.9分。
 

漏洞5

Apache Tomcat:

CVE-2017-12617 和 CVE-2016-6794 Tomcat 是最常用的 WebServer 套件之一,其在 Java EE 上更是被使用的淋漓盡致, 是非常受歡迎的項目。所以當 CVE-2017- 12617 此漏洞被發現時,許多公司將面臨重大損害,因它允許潛在的遠端程式碼執行 (Remote Code Execution, RCE) 攻擊。攻擊者可使用此漏洞在系統中執行未經授權的操作,如自我執行命令,用於發布或竊取資料,如同 Equifax 案例,我們評斷為高風險漏洞,目前已偵測到有 151 間公司有此風險,CVE 為 8.1 分。
 
而 Tomcat 的漏洞可不只一個,我們檢測到的 CVE-2016-6794 漏洞,它允許攻擊者繞過 SecurityManager 讀取 Web 應用系統未授權的系統參數,像是密碼或是重要的資訊,且在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9,8.5.0、8.5.4,8.0.0.RC1 至 8.0.36,7.0.0 及 7.0.70,6.0.0 至 6.0.45 系統內的參數可透過設定檔進行更換,此漏洞影響了 213間公司,範圍雖大但比 CVE-2017- 12617 造成的影響還要小,因此我們評斷其為中度風險漏洞,CVE 5.1 分。
 

漏洞6

node-mime:

WS-2017-0330

據 WhiteSource 研究人員指出 JavaScript 套件 node-mine 漏洞 WS-2017-0330,會造成被攻擊的目標發生阻斷服務 (Denial of Service)。 目前已有 143 間公司受到影響,此漏洞造成的威脅極大,所以風險等級列為高風險,且 CVE 高達 7.5 分,但此漏洞目前卻還未被國家漏洞資料庫 (NVD) 所收錄。

 

 漏洞7

Tough-Cookie:

WS-2017-0307 這對於使用來自後端的數據的 API 至關重要 tough-cookie 是 javascript 實作的套件,運用 於 SalesForce 等應用程式,攻擊者可利用此漏洞進行 DOS 攻擊,造成 ReDos 或大幅延遲系統運作,讓系統或服務中止,目前有 127 間公司正受此漏洞影響。
 
 

漏洞8

Angular:

WS-2017-0120

Angular 是目前最廣泛使用的前端開發框架之一。它可以用於與 NPM,js 和 CDNJS。但在使用 xlink:href 屬性值時,驗證方式會出現漏洞,這使得它容易受到跨站腳本攻擊 (Cross-Site Scripting, XSS),攻擊者會試圖欺騙伺服器,讓使用者連到危險性較高的網站。
 
 
 

漏洞9

Apache Struts2(Equifax)中的 Jakarta Multipart解析器:CVE- 2017-5638

JEE 開發框架 Apache Struts2 的漏洞在 2017年發生美國史上最嚴重的個資外洩事件,此漏洞讓 Equifax 團隊造成嚴重的財務、聲譽上的損失,更促使高階主管 (CEO、CIO、CSO)分別下台。
 
該漏洞可使攻擊者運用遠端程式碼執行 (Remote Code Execution, RCE) 攻擊該開發框架,使該套件在處理文件上傳時,解析器並未驗證上傳的內容,而造成惡意程式上傳至主機上,然沒有很多公司使用此套件。但此案例證明了就算只有單一漏洞,也是會造成公司巨大損害,所以此漏洞被我們評比為高風險弱點, CVE 為最嚴重的 10 分。
 

漏洞10

Krack:CVE-2017-13077,CVE- 2017-13078,CVE-2017-13079, CVE-2017-13080,CVE-2017- 13081,CVE-2017-13082,CVE- 2017-13084,CVE-2017 -13086, CVE-2017-13087,CVE-2017-13088

上面列出的漏洞會讓開發人員非常頭痛,因為此系列的 CVE 會影響所有使用到 Wi-Fi 設備的人,換句話說就是每個人都會受此影響。
 
攻擊者會藉此漏洞執行關鍵的重新安裝攻擊 (reinstallation attacks,簡稱 Krack),攻擊目前 Wi-Fi 系統標準加密方式的 WPA2 加密 協議,並將所有來自蘋果系統的用戶發送到 Linux,使其難以辨別正確性,進而獲取信用卡、密碼等個人資料。由於其可能造成嚴重破壞,所以我們其列為高風險弱點,CVE 評分 為8.1分。