1. 内容概述
CWE-1395:产品依赖于一个或多个第三方组件,这些组件包含已知的安全漏洞。由于这些漏洞尚未被修复,可能会被攻击者利用,从而危及产品的整体安全性。未能及时更新或替换这些第三方组件可能导致严重的安全风险。
为了加快软件开发进程并集成外部功能,开发人员通常依赖开源代码存储库和包管理平台(如 Conan、Vcpkg、GitHub 以及 SourceForge)中的现有代码。这些资源被称为第三方库(Third Party Library,TPL)。随着开源软件生态系统的不断扩展,越来越多的软件项目正在基于TPL构建。Synopsys 最近的一份报告表明,令人震惊的是,97% 的经过审核的软件至少包含一个TPL。TPL重用广泛存在
本研究从Conan收集了 516 个常用 TPL,例如 zlib,openssl。并在 CVE 网站中收集这些 TPL 相关的 CVE 信息,发现 186 个 TPL 存在 CVE,例如,zlib 一共存在过 49 个 CVE,openssl 一共存在过 455 个 CVE。具体统计情况如下图所示,需要注意图中仅显示了部分组件名称。
2. 真实案例
2.1 SweynTooth 漏洞
在蓝牙低功耗(BLE)软件开发工具包(SDK)中发现的 SweynTooth 漏洞,影响了多家蓝牙片上系统(SoC)制造商。这些 SoC 被广泛应用于医疗设备、智能家居设备、可穿戴设备以及其他物联网(IoT)设备中。这类漏洞允许攻击者通过未受信任的无线数据,触发设备的崩溃、重启,甚至控制设备的功能。
SweynTooth 漏洞家族涉及多个漏洞,通常由蓝牙通信协议处理过程中出现的内存管理错误引发。这些漏洞存在于 BLE 协议栈中的固件或 SDK 中,能够让攻击者通过发送恶意构造的 BLE 数据包,触发以下类型的攻击:
- 设备崩溃:设备由于缓冲区溢出或越界写入而崩溃,导致拒绝服务(DoS)。
- 设备重启或进入不可用状态:设备被迫进入不可用状态,攻击者可以反复使设备重启,破坏正常功能。
- 任意代码执行:攻击者可能通过利用漏洞获得对设备的完全控制,进而执行恶意代码。
由于 BLE 被广泛用于低功耗通信,这些漏洞对依赖 BLE 技术的设备构成了严重的安全威胁。具体受影响的产品和设备包括:
- 医疗设备:如蓝牙心率监测器、胰岛素泵等,可能因通信故障导致健康数据丢失或设备功能异常。
- 智能家居设备:包括智能门锁、温度传感器、智能灯具等,可能因 BLE 协议栈的漏洞遭到远程操控。
- 可穿戴设备:如智能手环、智能手表,可能面临隐私数据泄露和设备功能失效的风险。
- 其他物联网设备:诸如工业控制系统、环境监测设备等,可能导致物理世界的控制系统出现安全漏洞。
漏洞的影响与风险:
- 隐私泄露:通过漏洞,攻击者可以获取设备中的敏感信息,甚至可以远程监控用户的健康数据或设备使用情况。
- 安全威胁:对医疗设备的攻击可能直接危及患者安全,对智能家居设备的攻击可能破坏家庭的物理安全,导致门锁或监控系统失效。
- 拒绝服务攻击(DoS):攻击者可以通过恶意利用 BLE 漏洞,使设备陷入无法正常运行的状态,影响设备的可用性和可靠性。
- 物理危害:在工业和医疗场景中,攻击者可以通过漏洞对设备进行恶意控制,造成物理破坏或损害。
2.2 log4shell 漏洞
Log4j 是一个广泛使用的基于 Java 的日志框架,被众多企业和开发者集成到各种软件产品中。根据估算,大约有 30 亿台设备受到其影响。2021 年 12 月,Log4Shell(CVE-2021-44228)漏洞被公开,该漏洞允许攻击者通过特制的日志消息执行远程代码,从而对受影响的系统造成严重安全威胁。这一事件使得全球范围内的组织急需采取措施进行缓解和修复,然而,受影响产品的数量和范围由于 Log4j 常作为多层次可传递依赖的一部分而变得不易确定。
Log4Shell 漏洞存在于 Log4j 2.x 版本中,具体原因是框架在处理日志消息时,缺乏对用户输入的适当验证和过滤。当攻击者通过构造恶意的 JNDI(Java Naming and Directory Interface)查找字符串发送到 Log4j 进行日志记录时,恶意代码便可以被执行。这种攻击方式的简易性和有效性使得它迅速受到攻击者的关注和利用。
Log4j 的广泛应用意味着几乎所有使用 Java 的软件产品都有可能受到影响。具体包括:
- 企业软件:如 ERP 系统、CRM 系统等。
- Web 应用:许多基于 Java 的 Web 应用程序和服务,尤其是使用 Spring 框架的应用。
- 云服务:许多云平台和服务提供商的基础架构可能嵌入了 Log4j。
- 物联网设备:一些使用 Java 的 IoT 设备也可能受到影响,增加了安全风险。
漏洞的影响与风险:
- 远程代码执行(RCE):攻击者可以通过漏洞获取对受影响设备的完全控制,执行任意代码。
- 数据泄露:由于攻击者可以执行代码,敏感数据和配置文件可能会被窃取或篡改。
- 系统崩溃或拒绝服务(DoS):利用漏洞攻击的设备可能会崩溃或无法提供正常服务。
- 连锁反应:由于 Log4j 的可传递依赖性,一个受影响的库可能导致多个系统和服务受到波及,增加了全面响应的复杂性。
2.3 Heartbleed 漏洞
2014 年披露的 Heartbleed 漏洞(CVE-2014-0160)是一个影响广泛的安全漏洞,影响了 OpenSSL 库中的加密通信。OpenSSL 是一个开源软件库,广泛用于为各种互联网通信提供安全加密支持。该漏洞允许攻击者通过 OpenSSL 中的心跳扩展机制读取服务器的内存内容,而这些内容通常包含敏感信息,如用户的密码、加密密钥和其他敏感数据。Heartbleed 漏洞被认为是互联网历史上最严重的安全漏洞之一,因为它影响了成千上万甚至数百万个网站、网络服务和设备。
Heartbleed 漏洞是由于 OpenSSL 实现的心跳扩展协议(Heartbeat Extension)中的内存边界检查不当导致的。当客户端向服务器发送心跳请求时,服务器应该返回特定长度的数据。然而,由于 OpenSSL 没有正确检查发送请求的长度参数,攻击者可以通过构造特制的心跳请求,使服务器返回多于预期的数据,从而泄露服务器内存中的敏感信息。
由于 OpenSSL 的广泛使用,Heartbleed 漏洞影响了众多产品和服务,特别是依赖加密通信的应用和系统。具体受影响的产品包括:
- 网站和 Web 应用:许多使用 HTTPS 的网站和 Web 应用(包括社交媒体、银行、电子商务网站等)都依赖 OpenSSL 来加密传输数据。
- 电子邮件服务:流行的电子邮件服务和客户端通过 SSL/TLS 协议加密邮件传输,这些服务受到了 Heartbleed 漏洞的影响。
- 虚拟专用网络(VPN):许多 VPN 实现使用 OpenSSL 来保护用户与 VPN 服务器之间的通信。
- 物联网设备:部分物联网设备通过 OpenSSL 实现加密功能,这些设备也可能受到该漏洞的影响。
- 企业和云服务:许多企业和云服务提供商使用 OpenSSL 保护数据中心与客户端之间的通信,Heartbleed 使这些服务面临风险。
漏洞的影响与风险:
- 敏感信息泄露:通过利用 Heartbleed 漏洞,攻击者可以从服务器的内存中读取敏感信息,如用户的会话令牌、登录凭证、加密密钥等。这使得攻击者可以未授权地访问用户账户或解密通信数据。
- 私钥泄露:Heartbleed 漏洞特别危险,因为它可能导致服务器的私钥泄露。私钥是保护通信加密的重要组成部分,一旦私钥被泄露,攻击者可以伪装成合法服务器,拦截和解密未来的通信。
- 安全信任丧失:由于许多网站和服务依赖 OpenSSL 来确保用户的隐私和安全,Heartbleed 漏洞曝光后,公众对在线服务的信任度大幅下降,迫使许多公司加速修复漏洞并通知用户更改密码。
2.4 Event-Stream 漏洞,JavaScript
2018 年,event-stream 软件包的维护者在未进行充分审查的情况下,向其添加了一个包含恶意代码的依赖项。这一事件引发了广泛的关注和讨论,暴露了开源软件在使用第三方库时的安全隐患。恶意代码的主要目标是 Copay 加密货币钱包的用户,攻击者通过利用这一漏洞,能够远程获取用户的钱包私钥,从而可能窃取用户的加密货币。
事件的起因是 event-stream 软件包的维护者在2018年将一个新依赖项添加到该软件包中。这个依赖项是针对 Bitcoin 相关项目的一个库,然而该库包含的代码并未经过充分审查,且其开发者并未意识到其潜在的恶意性。恶意代码通过 Copay 钱包进行传播,当用户使用受影响的 event-stream 软件包时,攻击者能够获取钱包的私钥,从而执行未授权的交易。
由于 event-stream 软件包在 Node.js 生态系统中的广泛应用,许多依赖该软件包的项目受到了影响。特别是 Copay 加密货币钱包的用户成为了主要受害者。这些用户在使用受影响版本的钱包时,攻击者能够利用该漏洞获取用户的加密货币。
漏洞的影响与风险:
- 私钥泄露:恶意代码能够获取 Copay 钱包用户的私钥,从而使攻击者能够进行未授权的资金转移。
- 加密货币盗窃:一旦攻击者获取了私钥,他们可以直接访问和窃取用户的加密货币,造成用户经济损失。
- 信任危机:这一事件对开源社区造成了信任危机,用户对使用开源库的安全性产生了疑虑,促使开发者更加关注依赖库的安全审查。
3. 伪传播重用
组件重用的定义:组件重用是指组件是指组件代码见存在重复部分,根据重复区域的大小可以分为完全重用和部分重用,其表达式如下所示:
伪传播重用的定义:部分重用在 TPL 中广泛存在,且可以被 TPL 检测接受。但伪传播重用作为部分重用的特殊情况,却不能被 TPL 检测重用。具体来说,伪传播重用是指由间接重用引起的 TPL 之间的重用关系,如下式所示:
上述伪传播重用从逻辑推理的角度上来说是有意义的,但在实际 TLP 检测中却是灾难性的。究其原因,组件 A 中实际存在着某些关键区域 Critical_Area(A),组件 B 中实际存在某些关键区域 Critical_Area(B),组件 C 中实际存在某些关键区域 Critical_Area(C)。当组件 A 重用 组件 B 时,实际上是组件 A 中包含组件 B 的关键区域。当组件 C 重用组件 B 时,实际上是组件 C 中包含组件 B 的关键区域。然而,对于伪传播重用引起的组件 A 重用组件 B,组件 A 中不包含组件 B 中的关键区域,组件 B 中也不包含组件 A 的关键区域。为了解决伪传播重用的问题,提取新的重用定义:
下面通过一个具体的例子对伪传播重用进行解释,首先给出组件重用关系的 ground truth,如下所示:
compression_data = {
"minizip": ["bzip2", "xz"],
"libblosc": ["zstd"],
"lzbench": ["brotli", "bzip2", "xz", "zlib", "zstd"],
"precomp": ["brotli", "bzip2", "xz", "zlib"],
"turbobench": ["brotli", "bzip2", "xz", "zlib", "zstd"]
}
以 compression_data 字典的第一个键值对为例,minizip 与 bzip2 的关系是 minizip 重用了 bzip2 中的代码。通过匹配 minizip 与bzip2 函数名,得到下面的结果:
{
'BZ2_bzBuffToBuffCompress', 'BZ2_bzlibVersion', 'BZ2_hbAssignCodes',
'BZ2_bzDecompressInit', 'BZ2_bzBuffToBuffDecompress', 'BZ2_blockSort', 'BZ2_bzCompressEnd',
'BZ2_bzCompress', 'BZ2_bzCompressInit', 'BZ2_hbCreateDecodeTables', 'BZ2_bzDecompress',
'BZ2_hbMakeCodeLengths', 'BZ2_indexIntoF', 'BZ2_bsInitWrite', 'BZ2_compressBlock',
'BZ2_bzDecompressEnd', 'BZ2_decompress'
}
由上面的结果可知,minizip 与 bzip2 使用了一些列相同的函数,这些函数有一个共同的特点,即函数名称均为 BZ2_xxx 的形式。通过比较组件名称(minizip,bzip2)与函数名称(BZ2_xxx)不不难发现,BZ2_xxx 是属于 bzip2 的函数。最终可得出结果,minizip 重用了 bzip2 的代码。为了进一步研究重用组件间的关系,绘制 compression_data 对应的 graph,如下所示。
上图描述了 minizip,bzip2,xz 等组件间的重用关系,这些重用均为直接重用,即 target 组件直接使用 candidate 组件中的代码。下面列出一些 candidate 组件代码特征:
组件组件特征组件组件特征bzip2BZ2_xxxlibdeflatexxx_deflate_xxxxzlzma_xxxliblzgLZG_xxxzstdZSTD_xxxlzfselzfse_xxxgipfelixxx_gipfeli_xxxlzliblz_xxxbrotiliBrotili_xxxlzolzo_xxxcscxxx_csc_xxxzlibinflate_xxx, deflate_xxx
出了直接重用之外,组件间还存在着广泛的部分重用。以 bzip2 引起的部分重用为例,组件的部分重用示意图如下图所示:
上图给出了伪传播重用的详细定义及伪传播重用数量的计算公式,下面进一步讨论伪传播重用对组件检测的影响。以 lzbench 组件检测为例,理想情况下我们希望检测处 lzbench 中存在的重用组件 bzip2,并通过分析 bzip2 是否存在安全来保证 lzbench 组件的安全。但由于伪传播重用的存在,lzbench 的检测结果出了包括 bzip2 之外,还包括 minizip,precomp,turbobench等。由此可知,伪传播重用的引入会导致组件检测系统误报率的急剧增加,进而影响系统的实际使用。
版权归原作者 kitsch0x97 所有, 如有侵权,请联系我们删除。