建议流行的开源DevOps自动化软件StackStorm的用户更新到最近发布的2.10.3和2.9.3版本,这些版本解决了平台中的一个严重漏洞(CVE-2019-9580),该漏洞可能允许远程 攻击者可以在目标服务器上执行任意命令。
StackStorm是事件驱动的DevOps自动化工具,使开发人员能够设置计划的任务以及为大型服务器构建特定的操作和工作流。 为了让StackStorm代表其代理处理的远程服务器执行所有这些任务,它需要对系统具有高特权访问权限-攻击者可以利用这一点。
该漏洞是由应用程序安全研究人员Barak发现的。 Tawily 。 根据他的博客,缺陷在于StackStorm的REST API处理跨域资源共享(CORS)标头的方式。 Access-Control-Allow-Origin标头可精确指出哪些域可以访问站点的资源。 如果标头配置不当,它也可能使恶意站点以跨站点策略访问那些相同的资源。
在发布更新版本之前,如果使用Access-Control-Allow-Origin标头的请求的来源未知,则StackStorm API将提取“空”结果-因此,打开了API以进行交叉 网站脚本(XSS)样式的攻击。
正如《黑客新闻》报道的那样,由于该漏洞使Web浏览器能够代表通过StackStorm Web UI身份验证的开发人员执行跨域请求,因此网络罪犯可以通过向受害者发送恶意链接来滥用此请求。 然后,攻击者可以接管任何服务器并读取,更新和创建操作和工作流,获取内部IP信息,以及在可访问StackStorm的计算机上执行命令。 趋势科技解决方案
安全解决方案通过减轻DevOps自动化软件(如StackStorm)中的漏洞和威胁的潜在影响来支持DevOps流程。 例如,趋势科技™混合云安全解决方案提供威胁防御,以保护运行时的物理,虚拟和云工作负载,容器以及在开发阶段扫描容器映像。
Trend Micro帮助DevOps团队安全地构建,快速交付并在任何地方运行。 趋势科技混合云安全解决方案在组织的DevOps管道内提供了强大,简化和自动化的安全性,并提供了多种XGen™威胁防御技术来保护运行时的物理,虚拟和云工作负载。 它还通过趋势科技服务器深度安全防护系统(Deep Security™)解决方案和趋势科技服务器深度安全防护系统(Deep Security Smart Check)增强了对容器的保护,该技术可以在开发管道中的任何时间间隔扫描容器映像以查找恶意软件和漏洞,以在部署威胁之前阻止威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢