奇安信代碼安全實驗室通過數據分析發現,與以往歷年相比,2023 年,國內企業自主開發軟件的源代碼高危缺陷密度明顯下降,并且因使用開源軟件而引入安全風險的狀況有所改善。盡
1、軟件供應鏈安全攻擊手段依然花樣百出
過去的一年中,軟件供應鏈安全攻擊事件沒有絲毫減少的趨勢,攻擊手段依然花樣百出。 2023 年 10 月,安全人員分析發現了一種新型供應鏈攻擊。整個9 月,某黑客組織都在使用域名仿冒(Typosquatting)和星標劫持(Starjacking)技術向開源包管理器 PyPi 植入一系列惡意包,并引誘開發人員使用,而這些惡意包與 Telegram、AWS 和阿里云等熱門通信和電子商務平臺所使用的流行軟件包高度對應,被認為是故意攻擊這些平臺的特定用戶。攻擊者可以攻陷平臺用戶設備,竊取金融和個人信息、登錄憑據等敏感數據,可能影響數百萬人。
2023 年 12 月,AI 安全公司 Lasso Security 的研究人員,在GitHub和 Hugging Face 平臺上發現了 1500 多個不安全的API 訪問令牌,可用來訪問 772 個組織機構的倉庫,包括谷歌、微軟、VMware 等公司。其中部分令牌可幫助攻擊者獲得 Meta 公司Bloom、Meta-Liama、Pythia 等大語言模型(LLM)倉庫的完全讀寫權限,攻擊者可利用該漏洞實施 LLM 訓練數據投毒、模型和數據集竊取等惡意行為,從而將使用這些倉庫把 LLM 能力集成到應用和運營中的組織置于供應鏈風險中,危及數百萬下游用戶的安全。 2024 年 2 月,Cycode 研究團隊披露了谷歌重要的開源構建和測試工具 Bazel 的一個供應鏈安全漏洞的詳細信息。Bazel 所依賴的CI\CD 平臺 GitHub Actions 的工作流程中存在命令注入漏洞,可導致攻擊者將惡意代碼植入 Bazel 代碼庫、創建后門并影響Bazel 用戶的生產環境。該漏洞可能影響數百萬個依賴于Bazel 的項目和平臺,包括 Kubernetes、Angular、Uber、LinkedIn、Dababricks、Dropbox、Nvidia和谷歌自身等。
2024 年 3 月初,安全研究人員發現,機器人平臺Top.gg Discord托管在 GitHub 上的源代碼遭受到大規模嚴重供應鏈投毒攻擊,該平臺擁有超 17 萬成員。分析發現,攻擊者劫持了Top.gg 的GitHub賬戶,上傳了至少 14 個偽造的惡意 Python 流行軟件包,并通過這些惡意軟件竊取用戶 Chrome、Edge 等瀏覽器中的敏感數據,包括瀏覽歷史記錄、信用卡詳細信息等,并通過出售信息實現盈利。攻擊者還試圖竊取 Telegram 會話數據以侵犯用戶隱私。這些攻擊同時也影響到了大量與平臺相關的開發人員。 2024 年 3 月底,某開發人員在調查SSH 性能問題時發現了涉及XZ Util?工具庫的供應鏈攻擊,溯源發現SSH 使用的上游liblzma庫被植入了惡意后門漏洞(CVE-2024-3094),滿足一定條件時會解密流量里的 C2 命令并執行,從而使攻擊者能夠破壞SSHD 身份驗證并遠程獲得對整個系統的未經授權訪問。XZ 是一種由Tukaani 項目開發的高壓縮比數據壓縮格式,幾乎應用于每個Linux 發行版中,包括社區項目和商業產品發行版,liblzma 是一個用于處理XZ 壓縮格式的開源軟件庫。慶幸的是,該漏洞主要影響的 XZ 5.6.0 和5.6.1 版本尚未被Linux 發行版廣泛集成,而且大部分是在預發行版本中。
2024 年 5 月,攻擊者通過與英國國防部核心網絡鏈接的一個外部系統,即由英國國防部的一家提供薪資處理服務的外部承包商維護的薪資處理系統,訪問了部分軍隊支付網絡,造成嚴重的信息泄露。據統計,攻擊者訪問了超過 22.5 萬名英國陸軍、海軍和皇家空軍現役軍人、退役軍人和預備役軍人的姓名、銀行賬號詳情等個人信息。第三方承包商未能充分的保護系統是這次事件的主要誘因,而這一事件是在不到一年的時間內發生的第二起因外部承包商而導致的英國軍隊數據遭泄露事件。 OpenSSH 可以在 CS 架構中提供網絡安全信道,被眾多企業用于遠程服務器管理和數據安全通信。2024 年7 月初,網絡安全公司Qualys 發 現 , OpenSSH 服 務 器 進 程存在“regreSSHion”漏洞(CVE-2024-6387),攻擊者可利用其以root 權限在基于glibc的Linux 系統上實現未認證的遠程代碼執行,從而實施系統完全接管、惡意程序安裝和后門創建等攻擊行為,嚴重程度堪比Log4Shell。具不完全統計,互聯網上有 1400 多萬臺易受攻擊的OpenSSH 實例,僅Qualys 公司自身的客戶中就有約 70 萬個暴露在互聯網上的系統可能易受攻擊。
2、國內企業軟件供應鏈安全狀況有所改善
1)國內企業自主開發軟件的源代碼高危缺陷密度明顯下降通過對 2023 年國內企業自主開發源代碼的分析發現,雖然整體缺陷密度達到 12.76 個/千行,高于以往各年,但高危缺陷的密度為 5 0.52 個/千行,比之前三年有明顯的下降;此外,NULL 引用類缺陷的檢出率為 25.7%,較往年也有較大降低。上述趨勢的出現,應該在很大程度上得益于以下措施的采取:軟件開發過程中,研發企業對重點缺陷逐漸重視,針對重點問題的安全編碼規范進一步普及,并且代碼審計工具的使用持續推廣。
2)國內企業因使用開源軟件而引入安全風險的狀況有所改善2023 年,奇安信代碼安全實驗室對1763 個國內企業軟件項目中使用開源軟件的情況進行分析發現,平均每個項目使用了166 個開源軟件,數量再創新高。但另一方面,平均每個項目存在83 個已知開源軟件漏洞,含有容易利用的開源軟件漏洞的項目占比為68.1%,以上兩項指標與去年相比降幅較大;此外,存在已知開源軟件漏洞、高危漏洞、超危漏洞的項目占比分別為 88.0%、81.0%和71.9%,與去年相比均有所下降。其他方面,如項目中存在古老開源軟件漏洞、老舊開源軟件版本使用、同一開源軟件各版本使用混亂等方面的狀況基本與之前歷年持平。總體而言,國內企業使用開源軟件的安全狀況有所好轉。 雖然從趨勢來看,上述的軟件供應鏈安全問題有一定程度的緩解,但另一方面,這些指標數據仍處于高位,軟件供應鏈的安全問題并沒有得到根本性的改變。值得高興的是,越來越多的機構和企業開始關注并實施軟件供應鏈的安全,一些機構和企業基于規范的流程和實踐,落地了相應的解決方案和檢測平臺。但就目前的形勢而言,這些經驗、方法和工具還需要進一步的持續完善、推廣和應用。
