从RCE漏洞看国产网络安全产品的沦陷,论软件安全的重要性

2020-08-20 13:48

近日,深信服EDR终端检测响应平台RCE漏洞复现,该事件引发了业内强烈关注。监控发现网络上出现关于深信服EDR终端检测响应平台存在0day漏洞信息,经过追踪调查确认该漏洞真实存在。攻击者利用该漏洞,可在未授权的情况下向目标服务器发送恶意构造的HTTP请求,从而获得目标服务器的权限,实现远程命令执行。2020年8月18日,国家信息安全漏洞共享平台(CNVD)收录了深信服EDR端检测响应平台远程命令执行漏洞(CNVD-2020-46552),并对该漏洞的综合评级为“高危”。




因RCE漏洞导致的安全事件



1、严重的RCE漏洞影响了数百万基于OpenWrt的网络设备

一位安全研究人员披露了影响基于OpenWrt Linux操作系统的网络设备的严重远程执行代码漏洞。该漏洞被命名为CVE-2020-7982,存在于OpenWrt的OPKG软件包管理器中。

2、Zoom修复了影响Windows 7的零日RCE错误,即将推出更多更新

Zoom网络会议客户端包含一个零日漏洞,该漏洞可能使攻击者能够在易受攻击的系统上远程执行命令。

3、任何Chingari应用程序(印度TikTok克隆)帐户都可被黑客入侵

在Mitron应用程序中披露漏洞之后,发现印度的另一个病毒性TikTok克隆容易受到一个关键但易于利用的身份验证绕过漏洞的攻击,从而允许任何人劫持任何用户帐户并篡改其信息和内容,甚至上传未经授权的视频。

4、新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”

Jenkins作为最受欢迎的持续集成(CI)工具,使用量很大。上一次Jenkins远程命令执行漏洞(CVE-2017-1000353)的曝光,导致了“史上最大规模挖矿事件之一”,攻击者收益逾300万美元。


导致RCE(远程代码执行)问题的原因多种多样,常见的安全漏洞如:命令行注入,不安全的反序列化,不安全的文件操作(上传下载等),模板注入(CSTI/SSTI),表达式注入(EL表达式注入),UDF(数据库用户自定义函数),BOF(缓冲区溢出)等都可以导致远程命令执行问题。这些漏洞的检测难易程度不一,RCE问题的检测方案不可单一而论。




RCE安全问题的解决思路与建议




1、简单的安全编码规范和安全意识不足导致RCE

2、实现复杂功能过程中无意引入的(团队安全意识和安全编码规范要求已非常强)

3、使用第三方已知RCE漏洞的依赖组件


第一种场景是最常见的,目前国内研发环境,很少有研发人员会关注到安全因素,导致程序内大量的安全问题都是依赖后期安全测试环节去发现。微软早期也是这种发展模式,然而其产品线爆出的安全问题越来越多,修复成本也越来越高,所以微软推出了SDL的概念,从研发环节解决安全问题,效果明显!


第二种场景很难从编码角度去防范,因为本身功能需求实现起来难度非常大,且代码逻辑非常复杂,通过常规的代码审计工具和人工审计,几乎不能发现潜在的RCE风险,针对这种场景,需要从自动化模糊测试的角度出发,来辅助发现未知安全风险。通过自动化模糊测试工具,可以发现复杂功能中的不当处理问题,进而帮助研发人员杜绝可能造成RCE风险的途径。


针对第三种场景,需要引入SCA(软件成分分析)检测技术,SCA检测技术可以应用在不同环节,如第三方组件进入企业私库过程中添加SCA检测做入库审计,或者通过对接SCM平台以及软件构建平台,将SCA检测能力集成到软件开发的CI/CD过程中,同步发现潜在的已知安全风险。


简单的漏洞检测如命令行注入、不安全的文件操作等,其产生的原因,往往是因为研发团队的安全开发意识和能力不足,并且缺乏相应的检测和审计机制。作为安全代表公司都会出现“低级”代码问题,可见大多数公司在软件安全层面的“缺失”:1、安全生命周期管理流程缺失;2、软件安全自动化测试工具缺失;3、安全编码意识缺失。




关于开源网安




开源网安作为国内领先的软件安全开发生命周期(S-SDLC)解决方案提供商,以“让企业交付更安全的软件”为核心理念,强调从软件诞生的源头出发,助力企业构建内生安全体系。

自2013年成立以来,开源网安专注于软件安全开发领域,始终以自主创新为发展源动力。公司以清晰的市场策略和产品规划,自研软件安全产品、解决方案和服务已成功应用于金融、央企、政府、行业监管、国内软件百强等大型企业,其中包含:华为、百度、平安银行、中信银行、微众银行、国信证券、国家电网、南方电网、中国石油、金蝶软件、碧桂园等国内知名企业。


开源网安提供系列化软件安全产品(IAST、SAST、SCA、FUZZ、RASP)以及安全平台,实现快速交付的同时保障软件安全质量。完整产品链包含:开源网安灰盒安全测试工具IAST(简称:VulHunter)、开源网安代码审核工具SAST(简称:CodeSec)、开源组件安全及合规管理平台SCA(简称:SourceCheck)、开源网安模糊测试工具FUZZ(简称:SFuzz)、开源网安实时应用自我防护平台(RASP)、开源网安S-SDLC平台。



在此基础上,开源网安同时提供金融行业、大型央企、政府监管机构、车联网、医疗行业的完整软件安全解决方案,以及一体化的DevSecOps解决方案和软件上线安全检测方案,通过强化产品技术支撑,推进应用安全测试技术在实际用户场景下的应用,以满足国内各行业软件层自主可控的迫切需求。