第三方依赖关系的风险：利用数十个易受攻击的 NuGet包瞄准 .NET 平台

当前针对软件供应链的网络攻击事件不断增长，因此迫切需要评估这类第三方模块所带来的安全风险并最小化攻击面。

NuGet 是 .NET 平台的受微软支持的机制，可用作包管理器，使开发人员能够共享可复用代码。该框架维护了由超过26.4万个唯一程序包组成的中心仓库，而这些程序包的下载量已累计超过1090亿次。

研究人员指出，“我们在研究中识别出的所有预编译软件组件都是7Zip、WinSCP 和 PUTTYgen 的不同版本，提供复杂的压缩和网络功能。它们持续更新以改进功能并解决已知的安全漏洞。然而，有时候其它软件包虽然已更新但仍然使用包含已知漏洞的已过时多年的依赖关系。”

在某个实例中，研究人员发现下载次数超过3.5万次的远程服务器文件管理库 “WinSCPHelper” 使用老旧且易受攻击的 WinSCP 版本5.11.2，而实际上今年1月份初发布的WinSCP 版本5.17.10 解决了一个严重的任意执行缺陷 (CVE-2021-3331)，因此使用户易受漏洞影响。

另外，研究人员表示，从NuGet 包中提取的5万多个软件组件静态链接到 “zlib” 数据压缩库的易受攻击版本，使其易受多个已知漏洞影响如 CVE-2016-9840、CVE-2016-9841、CVE-2016-9842和CVE-2016-9843。

被指存在 zlib 漏洞的某些程序包是 “DicomObjects” 和 “librdkafka.redist“，它们的下载次数分别不少于5万次和1820万次。更令人担心的是，”librdkafka.redist” 被列为多个其它流行程序包的依赖关系，例如Confluent 的 Apache Kafka 的 .Net Client (Confluent.Kafka) 的下载次数超过1760万次。

研究人员指出，“软件解决方案开发企业应当重视这类风险，谨慎处理。应检查软件开发流程中的输入和最终输出中是否存在篡改和代码质量问题。透明的软件开发是启动提早检测并阻止软件供应链攻击的重点之一。”

https://thehackernews.com/2021/07/dozens-of-vulnerable-nuget-packages.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~