OSCS 社区共收录安全漏洞29个,公开漏洞值得关注的是Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642),Firefox 内存破坏漏洞(CVE-2022-38478)和Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)。
针对 NPM、PyPI 仓库,共监测到 5 次投毒事件,涉及 43 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
1、Apache Hadoop YARN 远程代码执行漏洞(CVE-2021-25642)
Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。
Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理,使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。
参考链接:https://www.oscs1024.com/hd/MPS-2021-20833
2、Firefox 内存破坏漏洞(CVE-2022-38478)
Firefox 是一款网络浏览器。
在Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误会显包含敏感信息,攻击者可利用此漏洞执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-54155
3、Atlassian Bitbucket Server 和 Data Center 命令注入漏洞(CVE-2022-36804)
Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。
在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-52474
OSCS针对 NPM 仓库监测的恶意组件数量如下所示,其中 NPM 仓库仍旧是主要投毒对象。
本周新发现 43 个不同版本的恶意组件,其中
84%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息)
14%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害)
2%的投毒组件为:反弹shell获取远程命令权限(远程执行主机系统命令)
微软称伊朗黑客仍在利用 Log4j 漏洞攻击以色列
https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-still-exploiting-log4j-bugs-against-israel/
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=wx
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
