OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive 等携带远控木马,该系列的组件包具有持续性威胁行为 。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)

Apache NiFi 是一个开源的数据流处理和自动化工具。

在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。

参考链接:https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)

PowerJob 是一款开源的分布式任务调度框架。

在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。

参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞

Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。

受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airflow上的任意文件。

参考链接:https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马

投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后,相继发布 mall-front-babel-directive 等NPM投毒包,当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马,进而与攻击者可控的C2服务器建立连接,远程执行系统命令或执行任意文件的上传/下载。

Windows版本:hxxps://img.murphysec-nb.love/w_x32.exe

Mac版本:hxxps://img.murphysec-nb.love/m_arm64

Linux版本:hxxps://img.murphysec-nb.love/l_x64

参考链接:https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。

本周新发现 81 个不同版本的恶意组件:

  • 64% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 36% 的投毒组件为:安装木马后门文件

其他资讯

中路对线发现正在攻防演练中投毒的红队大佬
https://mp.weixin.qq.com/s/zHgRa9Whp2mCpHVviHoOwg

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/#情报类型和推送内容

相关推荐
m0_694845571 小时前
服务器如何配置防火墙规则开放/关闭端口?
linux·服务器·安全·云计算
说私域1 小时前
基于开源AI智能名片链动2+1模式S2B2C商城小程序的抖音渠道力拓展与多渠道利润增长研究
人工智能·小程序·开源
inhere2 小时前
gookit/goutil v0.7.0 新版本发布:模块调整与功能增强
开源·go·github
云原生社区3 小时前
Fabric:为你的命令行安上 AI 管道
人工智能·开源·github
不摸鱼3 小时前
顶级AI评论员:算力狂飙撞墙后,AI的下一场革命靠什么?| 不摸鱼的独立开发者日报(第43期)
人工智能·开源·资讯
SeaTunnel4 小时前
SeaTunnel 社区月报(5-6 月):全新功能上线、Bug 大扫除、Merge 之星是谁?
大数据·开源·bug·数据集成·seatunnel
柴郡猫^O^4 小时前
OSCP - Proving Grounds - DC - 1
安全·网络安全·安全性测试
泡泡以安5 小时前
JA3指纹在Web服务器或WAF中集成方案
服务器·安全·https·ja3指纹
Raners_5 小时前
【Linux】文件权限以及特殊权限(SUID、SGID)
linux·安全
格调UI成品7 小时前
预警系统安全体系构建:数据加密、权限分级与误报过滤方案
大数据·运维·网络·数据库·安全·预警