VSCode 扩展中出现严重漏洞,可导致供应链攻击
编译:奇安信代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
攻击者可利用这些易受攻击的扩展在开发者系统上远程运行任意代码,从而为最终的供应链攻击铺路。
多个扩展被曝严重漏洞
其中一些扩展是 “LaTaX Workshop”、”Open in Default Browser”和 “Instant Markdown”,所有这些扩展的下载量已达到200万左右。
5月26日,Synk 公司指出,“开发者机器通常持有大量凭证,使得他们能够(直接或间接地)和该产品的很多部分进行交互。泄露开发者的密钥可使利益相关者克隆代码库中的重要部分甚至是连接到生产服务器中。”
VS Code 扩展和浏览器插件一样,可使开发人员为微软的 Visual Studio Code源代码编辑器增加新特性,如和开发工作流相关的编程语言和调试器。VS Code 的活跃用户达到1400万名,使其成为庞大的攻击面。
在 Synk 公司指出的攻击场景中,攻击者能够利用插件中的弱点,滥用已安装扩展,有效地攻破开发者系统。为此,研究人员检查了具有易受攻击的本地 web 浏览器实现的 VS Code 扩展。
研究人员指出,在其中一种情况下,具有对本地 webserver 访问权限的恶意人员能够利用Instant Markdown 中的路径便利漏洞检索托管在机器上的任意文件,而实现这一切仅需开发人员点击恶意 URL 即可。
研究人员在 PoC 中指出,可疑利用该缺陷从运行 VS Code 的开发人员受中窃取 SSH 密钥,并在 IDE 中安装 Instant Markdown 或 Open in Default Browser。而 LaTeX Workshop,由于输入未经处理,则易受命令注入漏洞攻击,可被用于运行恶意 payload。
最后,扩展 Rainbow Fart 中存在一个 Zip Slip 漏洞(严重的任意文件覆写漏洞),可使攻击者在受害者机器上覆写任意文件并获得远程代码执行权限。研究人员指出,通过该插件使用的 “import-voice-package” 端点发送特殊构造的 ZIP 文件并被写入该扩展工作目录之外的地方。
研究人员指出,“该攻击可被用于覆写文件如 ‘.bashrc’ 并最终获得远程代码执行结果。”
尽管这些扩展中的缺陷已被解决,但这些研究成果仍然具有重要意义,尤其是在近期开发人员成为具有诱惑力的攻击目标的情况下更是如此。在这些攻击活动中,威胁行动者利用多种恶意软件攻陷开发工具和环境,便于开展其它攻击活动。
研究人员指出,“IDE 插件和第三方依赖关系一样,都可对应用程序引入继承性风险。它们的危险性在于自定义编写的代码以及构建于该代码基础上的依赖关系。VS Code 中出现的问题也可能适用于其它 IDE,这意味着盲目安装扩展或插件是不安全的。”
美国总统发布行政令,提升美国网络安全防御能力
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全
详细分析PHP源代码后门事件及其供应链安全启示
用幼儿园所学拆解美国总统网络安全行政令(含软件供应链安全)
https://thehackernews.com/2021/05/newly-discovered-bugs-in-vscode.html?utm_source=dlvr.it&utm_medium=twitter
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。