技術支援
文件
登錄
聯繫我們
供應鏈攻擊:Java 依賴關係的噩夢成為現實
若昂·科雷亞
2023年8月28 日 - 技術佈道師
數位世界在互聯互通中蓬勃發展,這一點在構成現代軟體開發支柱的龐大依賴關係網路中最為明顯。雖然依賴關係是現代軟體設計的重要組成部分,但它們也可能是一個關鍵的漏洞。在這篇文章中,我們將探討一個真實的例子,說明Java依賴關係如何導致一個重大的安全問題。
事件:Java 庫成為薄弱環節
故事從一個廣泛使用的Java庫開始,該庫是各種專案的共同依賴項。這個看似無害的圖書館成為複雜的供應鏈攻擊的目標。
2017年,涉及Apache Struts(一種用於開發基於Java的Web應用程式的流行開源框架)的事件凸顯了與軟體供應鏈中的依賴關係相關的風險。Apache Struts (CVE-2017-5638) 中存在一個漏洞,允許攻擊者在運行受影響庫版本的伺服器上執行任意代碼。
它是怎麼發生的?
完美風暴是多種因素的組合,而不是一個非常關鍵的事件。這個漏洞展示了這種情況是如何發生的,在拳擊場上不會不合適的 1-2-3 拳中。
- 通過依賴入侵:Apache Struts作為依賴被集成到數千個商業和私有應用程式中。當發現庫中的漏洞時,它允許攻擊者控制運行易受攻擊版本的任何系統。
- 攻擊的傳播: Apache Struts的廣泛使用意味著大量系統暴露在這種漏洞中。因此,風險在廣泛的行業和應用中變得更加複雜。
- 延遲回應: 跨多個系統識別和更新易受攻擊的依賴項的複雜性導致緩解延遲。這些延遲為攻擊者提供了充足的時間來利用此漏洞。
Equifax違規行為:現實世界的後果
此漏洞在現實世界中最重要的後果之一是 Equifax 漏洞,攻擊者利用 Apache Struts 漏洞訪問大約 1.43 億人的敏感數據。這種違規行為具有深遠的影響,不僅影響了Equifax,還影響了無數資訊被曝光的人。
吸取的經驗教訓和緩解戰略
Apache Struts事件是一個警示故事,提醒我們供應鏈風險可能會產生現實世界的後果。以下是將此類風險降至最低的方法:
- 定期掃描漏洞:定期掃描依賴項中的已知漏洞並及時更新它們有助於早期檢測。
- 採用最低特權模型: 限制依賴項的許可權可以防止它們成為整個系統的閘道。
- 監視依賴項: 利用工具提供對正在使用的依賴項及其相關風險的可見性。
- 確保強有力的治理: 對第三方庫的使用實施嚴格的控制,並維護所有依賴項的最新清單。
- 尋找可信賴的合作夥伴: 與合適的組織合作,維護和測試你拉入專案的依賴項。
依靠堅實的基礎,您的專案將始終有人密切關注新出現的漏洞,並提供您可以放心地提取和更新的最新庫。使用SecureChain for Java可以輕鬆做到這一點。
結語
Apache Struts事件揭示了在軟體開發中管理大量依賴關係的風險和挑戰,特別是在Java等廣泛使用的語言中。隨著我們在日益互聯的數位環境中前進,在監控和管理依賴關係方面保持警惕的必要性從未如此明顯。通過瞭解和實施適當的風險管理策略,我們可以降低未來發生毀滅性供應鏈攻擊的可能性。
