关于网传VueJS漏洞浅析

admin 2022年1月26日10:39:27评论344 views字数 1439阅读4分47秒阅读模式

过分的自大就是可悲的。


言归正传,说一下这个事情。


首先,这个文件来源于国家某网络安全部门,属于涉密的,以纸质发函形式下发,这就是为什么你看不到红头文件,按照规定,人行还有微信截图发送的人违规了,当然,我给大家科普不算违规!狗头保命!


其次,问题要透过现象看本质,需要结合来看,正如截图,本次出现问题需要排查的包括SonarQube和VueJS两款软件(框架)。可能大家想不到后者存在什么漏洞,我们可以曲线救国,从前者分析。


2021年10月以来,境外突袭论坛异军突起的ATW黑客团伙利用SonarQube漏洞,窃取大量源码,并在论坛上公然兜售泄露代码,其中涉及我国数十家重要企业单位的应用代码


深入分析ATW事件就会发现,此次持续性的源码泄露事件根本原因在于各企业的SonarQube平台被入侵。SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。攻击者利用该漏洞,可在未授权的情况下获取SonarQube平台上的程序源代码,轻松窃取项目源代码数据。进一步讲,此次事件不只是单纯的代码泄露事件或是攻击事件,而是SonarQube平台安全事件、乃至供应链安全事件,这也再次反应了我国供应链安全的严峻现状。


在此背景下,该黑客团体声称同时采用VueJS漏洞进行攻击,所以,国家网络安全部门针对VueJS可能存在的未知漏洞威胁进行了预警。看到评论区有人拿Log4j2说事,漏洞公开前,你能知道到底发生了什么嘛?你知道的话就不叫0day了。


然后我们深入分析,根据我近几个月观察,该黑客团队喜欢或者说擅长的就是利用漏洞获取源码,同时,他们也有夸大其词,吹牛皮的成分,比如之前声称泄露市场监督管理总局数据,我购买后下载核对是确认是假数据,但是,有证据显示他们确实可以获取部分单位源码,比如中国人民银行。综合以上信息分析,我判断,漏洞利用是存在的,不过应该不是0day,漏洞危害以获取源码为目的。


所以,我的结论是,使用VueJS框架后,没有合理配置Source map会导致应用系统前端源码泄露,这个其实问题说大不大,但是,如果黑客获取了前端源码到黑客论坛一顿叫嚣,半真半假发帖声称中国xxx政府机构网站源码被他们获取了并配以截图证明,不明所以的吃瓜群众就会以讹传讹,势必会引起轩然大波!


最后说一句,这种发函要求统计使用框架完全是正常操作,不要大惊小怪,随着关键信息基础设施保护工作深入开展,供应链安全被日趋重视,供应商,供应链产品,上下游关联产品,从应用系统涉及的开发语言,前端框架,后端框架,开源组件,中间件,数据库等都要一一统计,从版本号,负责人,负责单位,联系方式等等详细信息都要统计。


扪心自问,放在2021年12月9号之前,谁能想到一个毫不起眼的日志组件Log4j2能够引发互联网地震!如果我们不及时做好未雨绸缪,下次被动挨打的时刻离之不远。


参考文章:

详细文章:

1. SonarQube漏洞致我国大量源码泄露事件分析

https://mp.weixin.qq.com/s/2YOekeESvjI8Dib4OvdT5g

2. 利用SourceMap还原前端代码

https://mp.weixin.qq.com/s/LRRycBY9ERIMBEh-MKjBCw

3. 通过sourcemap还原项目代码

http://xuedingmiao.com/blog/recover_from_sourcemap.html


关于网传VueJS漏洞浅析


原文始发于微信公众号(利刃信安):关于网传VueJS漏洞浅析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月26日10:39:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于网传VueJS漏洞浅析http://cn-sec.com/archives/754510.html

发表评论

匿名网友 填写信息