t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Lỗi thực thi mã ảnh hưởng đến gói Yamale Python - được sử dụng bởi hơn 200 dự án
Một lỗ hổng chèn mã có mức độ nghiêm trọng cao đã được tiết lộ trong 23andMe's Yamale - lược đồ và trình xác thực cho YAML - có thể bị đối thủ lợi dụng để thực thi mã Python tùy ý. Gói này được sử dụng bởi ít nhất 224 kho trên GitHub.
Lỗ hổng với mã định danh CVE-2021-38305 (điểm CVSS: 7,8) là lỗi nằm ở hàm phân tích cú pháp lược đồ, cho phép đánh giá và thực thi bất kỳ đầu vào nào được truyền vào, dẫn đến một chuỗi được tạo đặc biệt trong lược đồ có thể bị lạm dụng để đưa vào các lệnh hệ thống.
CTO Asaf Karas của JFrog Security cho biết: "Kẻ tấn công có thể cung cấp tệp lược đồ đầu vào để thực hiện việc chèn mã Python dẫn đến việc thực thi mã với các đặc quyền của quy trình Yamale". Họ cũng khuyên người dùng nên lọc dữ liệu đầu vào để chuyển sang eval () và tốt nhất thay thế thế các lệnh gọi eval () bằng các API cụ thể hơn.
Bản vá bảo mật đã được công bố vào ngày 4 tháng 8 trong phiên bản 3.0.8 của Yamale sửa các lỗi trên.
Vào tháng 6 năm 2021, Vdoo đã tiết lộ các gói lỗi chính tả trong kho lưu trữ PyPi được phát hiện để tải xuống và thực thi các công cụ mã hóa của bên thứ ba như T-Rex, ubqminer hoặc PhoenixMiner để khai thác Ethereum và Ubiq trên các hệ thống bị xâm phạm.
Sau đó, nhóm bảo mật JFrog đã phát hiện thêm 8 thư viện Python độc hại, được tải xuống hơn 30.000 lần, có thể được tận dụng để thực thi mã từ xa trên máy mục tiêu, thu thập thông tin hệ thống, lấy thông tin thẻ tín dụng và mật khẩu được lưu tự động trong trình duyệt Chrome, Edge và còn có thể ăn cắp mã thông báo xác thực Discord.
Các nhà nghiên cứu cho biết: "Các kho lưu trữ gói phần mềm đang trở thành mục tiêu phổ biến cho các cuộc tấn công chuỗi cung ứng và đã có các cuộc tấn công phần mềm độc hại vào các kho lưu trữ phổ biến như npm, PyPI và RubyGems. Đôi khi các gói phần mềm độc hại được phép tải lên kho lưu trữ gói, sử dụng để phân phối vi rút và khởi động các cuộc tấn công thành công vào cả nhà phát triển và máy CI / CD trong đường dẫn".
CTO Asaf Karas của JFrog Security cho biết: "Kẻ tấn công có thể cung cấp tệp lược đồ đầu vào để thực hiện việc chèn mã Python dẫn đến việc thực thi mã với các đặc quyền của quy trình Yamale". Họ cũng khuyên người dùng nên lọc dữ liệu đầu vào để chuyển sang eval () và tốt nhất thay thế thế các lệnh gọi eval () bằng các API cụ thể hơn.
Bản vá bảo mật đã được công bố vào ngày 4 tháng 8 trong phiên bản 3.0.8 của Yamale sửa các lỗi trên.
Vào tháng 6 năm 2021, Vdoo đã tiết lộ các gói lỗi chính tả trong kho lưu trữ PyPi được phát hiện để tải xuống và thực thi các công cụ mã hóa của bên thứ ba như T-Rex, ubqminer hoặc PhoenixMiner để khai thác Ethereum và Ubiq trên các hệ thống bị xâm phạm.
Sau đó, nhóm bảo mật JFrog đã phát hiện thêm 8 thư viện Python độc hại, được tải xuống hơn 30.000 lần, có thể được tận dụng để thực thi mã từ xa trên máy mục tiêu, thu thập thông tin hệ thống, lấy thông tin thẻ tín dụng và mật khẩu được lưu tự động trong trình duyệt Chrome, Edge và còn có thể ăn cắp mã thông báo xác thực Discord.
Các nhà nghiên cứu cho biết: "Các kho lưu trữ gói phần mềm đang trở thành mục tiêu phổ biến cho các cuộc tấn công chuỗi cung ứng và đã có các cuộc tấn công phần mềm độc hại vào các kho lưu trữ phổ biến như npm, PyPI và RubyGems. Đôi khi các gói phần mềm độc hại được phép tải lên kho lưu trữ gói, sử dụng để phân phối vi rút và khởi động các cuộc tấn công thành công vào cả nhà phát triển và máy CI / CD trong đường dẫn".
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: