聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
子域名遭接管的方式有多种,但最常见的涉及DNS记录滥用,尤其是CNAME 记录滥用。其中的一个主要原因是,这些记录旨在指向某个特定的子域名,而该子域名要么过期要么攻击者在组织机构之前进行了注册或为子域名设立了虚拟托管,这种行为一般被称为“悬挂的DNS” 。
“悬挂的DNS”是由DNS记录定义的,它将流量指向一个易受攻击的子域名或资源。值得注意的是,该攻击并不仅限于 CNAME 记录;其它DNS记录如NS、MX、A和AAA记录也可遭利用。
被涂鸦的着陆页或被盗凭据固然具有破坏性,但它真正的威胁在于供应链滥用。子域名经常提供静态资源和容器镜像,而这些都是现代开发管道中的重要元素。最近的一项研究显示,研究人员注册了150个被弃用的S3存储桶并记录了针对这些存储桶的800多万次请求,而它们很多都是来自活跃的管道和内部构件系统。这些请求的发起对象包括:
-
CloudFormation 模板
-
未签名的 Windows、Linux 和 macOS 二进制
-
容器镜像
-
软件更新
-
VPN配置
子域名接管可造成如下后果:
-
通过被欺骗的软件更新分发恶意软件
-
通过钓鱼子域名收割凭据
-
在构建管道中执行远程代码
-
在DevOps 环境中安装持久性后门
-
品牌涂鸦和信任破坏
攻击者对基础设施组件的控制可损坏整个供应链,影响数千名下游用户或客户端,类似于臭名昭著的 SolarWinds 攻击。
研究人员提醒称,“远程代码执行、资源劫持、持久性后门、凭据盗取和提权的范围取决于攻击者。”
总之,由配置不当和忽视造成的子域名接管造成严重的不断变化的网络安全挑战,尤其是在软件供应链上下文中更是如此。组织机构必须保持警惕并主动识别和缓解这些风险,保护自身和客户的安全。
原文始发于微信公众号(代码卫士):子域名接管:不断增长的软件供应链威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论