HackerNews 编译，转载请注明出处： 超过220万台暴露的Rsync服务器可能面临六项新漏洞的威胁，其中包括一项允许在服务器上远程执行代码的高危堆缓冲区溢出漏洞。 Rsync是一款开源的文件同步和数据传输工具，以其执行增量传输、减少数据传输时间和带宽使用的能力而备受推崇。 它支持本地文件系统传输、通过SSH等安全协议的远程传输，以及通过其自带的守护进程进行直接文件同步。 Rclone、DeltaCopy、ChronoSync等备份系统、公共文件分发仓库以及云和服务器管理操作都广泛使用了该工具。 这些Rsync漏洞由谷歌云和独立安全研究人员发现，可被组合利用形成强大的攻击链，导致远程系统被攻陷。 Openwall发布的公告指出：“在最严重的CVE（通用漏洞披露）案例中，攻击者仅需对rsync服务器（如公共镜像）拥有匿名读取访问权限，即可在服务器运行的机器上执行任意代码。” 以下是这六项漏洞的概述： 堆缓冲区溢出（CVE-2024-12084）：由于Rsync守护进程对校验和长度的处理不当导致，会在缓冲区中进行越界写入。该漏洞影响3.2.7至3.4.0以下版本，可导致任意代码执行。缓解措施包括使用特定标志编译以禁用SHA256和SHA512摘要支持。（CVSS评分：9.8） 未初始化堆栈导致的信息泄露（CVE-2024-12085）：在比较文件校验和时，会导致未初始化堆栈数据泄露。攻击者可通过操纵校验和长度来利用该漏洞。该漏洞影响3.4.0以下所有版本，可通过使用-ftrivial-auto-var-init=zero标志编译来初始化堆栈内容以缓解。（CVSS评分：7.5） 服务器泄露任意客户端文件（CVE-2024-12086）：恶意服务器可利用操纵的校验和值在文件传输过程中逐字节枚举和重建任意客户端文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.1） 通过–inc-recursive选项的路径遍历（CVE-2024-12087）：在使用–inc-recursive选项时，由于符号链接验证不足导致。恶意服务器可以在客户端的指定目录之外写入文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 绕过–safe-links选项（CVE-2024-12088）：当Rsync未能正确验证包含其他链接的符号链接目标时发生。这会导致路径遍历和在指定目录之外进行任意文件写入。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5） 符号链接竞态条件（CVE-2024-12747）：在处理符号链接时出现竞态条件导致的漏洞。利用该漏洞，攻击者可访问敏感文件并提升权限。该漏洞影响3.4.0以下所有版本。（CVSS评分：5.6） CERT协调中心（CERT/CC）发布了关于Rsync漏洞的公告，指出Red Hat、Arch、Gentoo、Ubuntu NixOS、AlmaLinux OS Foundation和Triton数据中心等受到影响。 然而，还有许多可能受影响的项目和供应商尚未回应。 CERT/CC警告称：“前两个漏洞（堆缓冲区溢出和信息泄露）结合利用时，允许客户端在运行Rsync服务器的设备上执行任意代码。客户端仅需对服务器拥有匿名读取访问权限，如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。敏感数据（如SSH密钥）可被提取，通过覆盖文件（如/.bashrc或/.popt）可执行恶意代码。” RedHat在其关于CVE-2024-12084的公告中指出，没有实际的缓解措施，该漏洞在Rsync的默认配置中即可被利用。 RedHat解释说：“请记住，rsync的默认rsyncd配置允许匿名文件同步，这存在该漏洞的风险。否则，攻击者需要拥有需要身份验证的服务器的有效凭据。” 通过ZoomEye搜索(port=873 || port=8873) && “@RSYNCD”发现，有超过220万个暴露的Rsync服务器IP地址。其中大多数IP地址位于中国，共超80万个暴露，其次是美国、韩国和德国。 ZoomEye显示暴露的Rsync服务器分布图 尽管存在许多暴露的服务器，但尚不清楚它们是否易受新披露的漏洞影响，因为攻击者需要有效凭据或服务器必须配置为允许匿名连接，而我们未进行测试。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Dark Reading 4月21日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告，根据该团队 4 月 20 日发布的分析，恶意程序之所以进行隐藏，是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置，有了这些信息，攻击者就可以设计出极具迷惑性的网络钓鱼攻击。 除此之外，攻击者还可能从Google Drive 中删除文件，从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击，从 Google Calendar、Photos 或 Docs 中敏感数据，等等。 如鬼魂般的恶意程序 谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务，也包括为最终用户托管各类应用程序，这些应用程序与其他应用程序生态系统一样，可通过谷歌应用市场下载。一旦用户授权下载，应用程序就会在后台收到一个令牌，根据应用程序请求的权限授予相应的Google 帐户访问权限。 但利用GhostToken 漏洞，网络攻击者可以制作一个恶意应用程序，将其植入到应用程序商店，伪装成合法的实用程序或服务。一旦用户下载并安装，便会隐藏在受害者的谷歌账户申请管理页面中，并无法从谷歌帐户中删除。此外，攻击者可以随时取消对恶意程序的隐藏状态，让其使用令牌访问受害者的帐户，然后再次隐藏并恢复成不可删除的状态。 Astrix 的研究员表示，这个特定的漏洞允许网络攻击者一方面可以访问组织的 GCP 环境，另一方面也可以访问个人 的Google Photos 和他们的电子邮件帐户，从而对企业和个人构成安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364315.html 封面来源于网络，如有侵权请联系删除

谷歌云宣布推出软件供应链端到端保护产品Software Delivery Shield，旨在加强企业应对激增的软件供应链攻击的能力。 Software Delivery Shield可以在整个开发生命周期加强软件供应链安全，包括增强开发环境的应用安全、提升应用的映像和依赖项安全、加强CI/CD管道安全、保护应用运行时安全、在安全开发生命周期（SDLC）内实施基于信任的安全策略等。 回应软件供应链安全的呼声 多年以来，谷歌一直与开发者社区、公共部门及各合作伙伴携手，建立起多种行业范围内的标准与框架，并凭借软件工件供应链级别（SLSA）等成果努力增强软件供应链安全性。去年，作为谷歌公司百亿美元推进网络安全倡议的一部分，该公司承诺为各类被全球公共基础设施及企业广泛应用的关键开源组件提供保护。 为了进一步帮助用户提高软件供应链安全性，谷歌正式推出了Software Delivery Shield。这是一套完全托管的软件供应链安全解决方案，包含一组模块化功能，可以为开发者、DevOps及安全团队配备构建安全云应用所必需的各类工具。 Software Delivery Shield涵盖开发者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服务，从开发者工具到运行时选项无所不包。 Software Delivery Shield包含的功能横跨五大领域，旨在解决软件供应链中的种种安全问题。这五大领域分别为：应用程序开发、软件供应环节、持续集成与持续交付（CI/CD）、生产环境、策略。 Software Delivery Shield还允许用户逐步落地其实施路径，因此组织可以根据自身特定需求进行方案定制，根据现有环境和安全优先级先选择一部分关键工具。 快速安全搞开发 为了从开发起步阶段就协助保护软件，Google Cloud Next的预览版中引入了一项新服务：Cloud Workstations，这是一套立足谷歌云的完全托管开发环境。借助Cloud Workstations，开发者们可以随时随地通过浏览器访问到安全、快速且可定制的开发环境，并获得一致的配置与定制化工具。同时，IT和安全管理员可以轻松配置、扩展、管理和保护这些运行在谷歌云基础设施上的开发环境。 作为Software Delivery Shield产品的关键组件，Cloud Workstations负责增强应用程序开发环境的安全态势，因而在“安全左移”上发挥着关键作用。借助VPC服务控制、无源代码本地存储、私有入口/出口、强制镜像更新和IAM访问策略等内置安全措施，Cloud Workstations有助于解决代码泄露、隐私风险、配置不一致等各类常见的本地开发安全痛点。 除了通过Cloud Workstations帮助保护开发环境之外，谷歌还为开发者提供工具，让他们在自己的笔记本电脑上快速安全进行编码。Cloud Code是谷歌的IDE插件系列，目前已经提供Source Protect插件的预览版。Source Protect能够在IDE中为开发者实时提供安全反馈，识别易受攻击的依赖项，报告许可证信息等。这种快速、可操作的反馈能帮助开发者及时更正当前代码，尽可能削减成本高昂的事后修复需求。 保卫软件“供应” 提高软件供应链安全性的另一个关键步骤，当数保卫软件供应——也就是构建工具与应用程序依赖项。随着开源软件的快速普及，这个问题正变得越来越棘手。 在与广泛社区合作建立指导方针和框架，借以提高整体开源安全性的同时，谷歌还提供更多服务以帮助直接克服这一挑战。今年5月，谷歌推出了可信开源软件（Assured OSS）服务，目前尚处于预览阶段。 Assured OSS是谷歌的首个“策划”开源项目，相当于在大家熟知的免费和“原样”开源之上添加了一个问责层。作为Software Delivery Shield解决方案中的关键组成部分，Assured OSS提供已经由谷歌完成挑选和审查的开源软件包。这些软件包被部署在安全管道之内，并定期接受漏洞扫描、分析和模糊测试。 使用Assured OSS，安全团队将可以肯定其开发人员使用的开源依赖项已经通过了审查。该服务目前涵盖250个Java及Python精选包，且全部经过验证。它会自动生成软件物料清单（SBOM），即应用程序开发和交付中所涉及的一切组件和依赖项清单，用以识别存在潜在风险的各类元素。 借助Software Delivery Shield，DevOps团队能够在Artifact Registry中存储、管理和保护各类构建工件，还能通过Container Analysis提供的多语言包集成扫描主动检测漏洞。除了扫描基础镜像之外，Container Analysis（目前为预览版）现在还能对Maven及Go容器，以及非容器化Maven包执行推送时扫描。 锁定CI/CD管道 恶意黑客可能会破坏CI/CD管道以攻击软件供应链。因此，谷歌才一直努力加强完全托管CI平台Cloud Build和CD平台Cloud Deploy。作为Software Delivery Shield解决方案中的关键组件，这两大平台都包含内置安全功能，包括粒度IAM控制、VPC服务控制、隔离与临时环境、审批闸道等，可帮助DevOps团队更好地管理构建与部署流程。 Cloud Build现在还正式支持SLSA L3 builds，即默认实施SLSA L3级最佳实践。除了提供临时和隔离的构建环境之外，Cloud Build现在还能为容器化应用程序和非容器化Maven/Python软件包生成经过身份验证、不可篡改的构建源，并显示关于所构建应用程序的安全细节信息。 协助保护生产中的应用程序 软件供应链保护中的另一个关键环节，就是加强运行时环境的安全态势。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的领先容器化应用程序运行时平台，二者均包含内置的安全功能，可为运行中的应用程序给予协助保护。 我们很高兴地宣布，GKE此次也迎来新的内置安全状态管理功能（现为预览阶段），可用于识别并解决GKE集群和工作负载中的安全问题。基于行业标准和GKE团队的安全专业知识，GKE现可提供详尽的风险严重性等级评估与结果，并就集群和工作负载的安全状况提供建议，包括对于操作系统漏洞和工作负载配置的洞察发现。 GKE仪表板现可清晰指明哪些工作负载会受到安全问题影响，而后提供可操作的指导性解决方案。除仪表板之外，GKE还能将安全问题记录至Cloud Logging，这部分安全事件信息随后可通过Pub/Sub（公布/订阅）被路由至工单系统或安全信息与事件管理（SIEM）系统等服务端。 对于Cloud Run无服务器平台的客户，谷歌正着手为Cloud Run安全面板引入新的增强功能。现在此面板能够显示软件供应链的安全见解，例如SLSA构建层面的合规性信息、构建源以及正在运行的服务中发现的漏洞（现为预览阶段）。 Software Delivery Shield的各项服务间协同工作，为用户软件供应链带来从开发到生产的全流程保护。 通过策略建立信任链 除了在软件交付生命周期的各个阶段增强安全态势之外，Software Delivery Shield还提供基于信任的策略引擎，帮助用户为整个供应链建立、维护和验证相应的信任链。 Binary Authorization是一款部署时安全控件，可以保证GKE或Cloud Run上仅部署受信任的容器镜像。借助Binary Authorization，DevOps或安全团队可以在开发过程中要求受信权威机构对镜像进行签名，而后在部署时强制执行签名验证。通过这种强制验证，各团队即可确保构建与发布流程中仅使用经过验证的镜像，从而更严格地控制容器环境。 软件供应链的安全保护是一项复杂挑战。Software Delivery Shield提供的端到端解决方案有助于保护软件完整性，使其免受软件供应链中各种形式攻击的影响。借助谷歌云服务承载的丰富工具集合，组织可以立即体验并根据现有环境/安全优先级逐步采用最合适的安全措施（无论大小），稳健提升软件供应链的整体安全水平。   转自 安全内参，原文链接：https://www.secrss.com/articles/47880 封面来源于网络，如有侵权请联系删除