Apache 项目中存在依赖混淆漏洞

Legit Security 公司发现了该漏洞，并表示这说明有必要审计第三方项目和依赖，尤其是被归档且有可能忽视了更新和安全补丁的第三方项目和依赖。该公司发布技术文章提到，尽管一般做法都是按照‘’如果没崩就不修”的心态将归档项目置之不理，但这些项目通常会含有未被修复的漏洞。

依赖混淆也被称为“依赖劫持”或“替换攻击”，可使攻击者通过渗透开源软件中易受攻击依赖的方式，发动软件供应链攻击。当引用私有/本地程序包时，不可避免地会因为包管理器配置不当而从公开注册表中提取命名类似的恶意包，从而导致利用发生。

Legit 安全团队通过利用归档 Apache 项目 Cordova App Harness“中的配置不当问题，展示了该漏洞的情况。研究人员以相同的名称上传了恶意包，成功劫持了该漏洞，三天内的下载量超过100次，这说明了归档项目仍在被继续使用以及它们所造成的潜在安全风险。利用该漏洞后，攻击者可在主机机器上执行任意代码，可能导致在生产环境中造成RCE后果。

安全研究人员在3月24日将该问题告知 Apache。后者在24小时内证实了该漏洞的存在并接受了 Legit 公司提供的解决方案，即持有该私有包的公开版本以阻止遭利用。

研究人员强调称，正确配置包管理器对于缓解依赖混淆风险至关重要。研究人员强调了采取主动安全措施和最佳实践的重要性，包括常规安全扫描、替换已降级项目、加固依赖配置安全、加强开发人员教育以及获悉最新威胁和最佳实践等。组织机构可借此加固其安全态势并保护软件生态系统免受潜在的攻陷和漏洞困扰。