Diese Woche befassen wir uns mit Unicode-Schwachstellen, die es ermöglichen, Code böswillig so zu kodieren, dass er für einen Compiler und das menschliche Auge unterschiedlich aussieht. Außerdem sprechen wir über Containersicherheit und ein verwundbares WordPress-Plugin, das unserer Meinung nach Aufmerksamkeit erfordert.
Trojaner-Quelle (CVE-2021-42574)
Ein kürzlich von zwei Forschern der Universität Cambridge veröffentlichtes Papier zeigt, dass die einzigartige Verwendung von Unicode-Zeichen zur Richtungsumkehr in Code dazu führen kann, dass menschliche Leser den Code als sicher fehlinterpretieren, während böswillige Akteure logische Änderungen in die Codebasis einführen können. Die Forscher haben ein GitHub-Repository eingerichtet, um zu demonstrieren, wie diese Zeichen in verschiedenen Programmiersprachen verwendet werden können.
#!/usr/bin/env python3
def sayHello():
print("Hello, World!")
def sayHello():
print("Goodbye, World!")
sayHello()
Können Sie sagen, welche Funktion ausgeführt wird? Ein Compiler kann das!
Dieses Problem kann mehrere Sicherheitsauswirkungen haben. Bösartiger Code kann in ein ansonsten sicher aussehendes öffentliches Repository eingeschleust werden, um Angriffe über die Lieferkette zu starten. Auch aus öffentlichen Foren kopierter Code kann diese bösartigen Logikänderungen enthalten. In dem Papier wird erwähnt, dass die meisten Compiler für diese Probleme anfällig sind, und obwohl einige Gemeinschaften das Problem erkannt haben (siehe Rust und GitHub), ist bekannt, dass die meisten immer noch anfällig sind.
Best Practices für die Containersicherheit
Laut Docker ist ein Container eine Standard-Softwareeinheit, die den Code und alle seine Abhängigkeiten zusammenfasst. Die Anwendung läuft schnell und zuverlässig von einer Computerumgebung zur anderen. So kann ein Anwendungsimage ohne Änderungen auf verschiedenen Host-Betriebssystemen bereitgestellt werden. Obwohl diese Container-Images vom zugrundeliegenden Betriebssystem isoliert sind, kann eine ausnutzbare Schwachstelle innerhalb eines Containers Ihre gesamte Cloud-Infrastruktur gefährden, so der Comprehensive Container Security Guide von sysdig. Laut der Umfrage der Cloud Native Computing Foundation (CNCF) aus dem Jahr 2020 ist die Nutzung von Containern in der Produktion auf 92 % gestiegen, was bedeutet, dass es wichtiger denn je ist, diese Instanzen zu sichern.
Wir bieten einen eigenen Leitfaden zur Containersicherheit an, der die Verwendung empfohlener Tools und Verfahren zur Erstellung sicherer Docker-Images näher erläutert. Wir empfehlen, diese Best Practices zu befolgen, um Ihre Container besser zu schützen:
- Aktualisieren Sie die Images regelmäßig, um die Anzahl der Sicherheitslücken in einem Container zu verringern.
- Scannen Sie regelmäßig nach Schwachstellen mit einem Schwachstellen-Scan-Tool wie Trivy, einem kostenlosen Open-Source-Tool, das für diesen Zweck entwickelt wurde.
- Legen Sie eingeschränkte Benutzer für die Ausführung von Containern an und vermeiden Sie, wann immer möglich, die Ausführung der Container als Root-Benutzer. Es ist wichtig, bei der Verwendung von Containern das Prinzip der geringsten Privilegien anzuwenden.
- Begrenzen Sie die CPU- und RAM-Nutzung eines Containers. Durch die Begrenzung der Hardware-Nutzung werden die Möglichkeiten eines Angreifers, Krypto-Mining in einem bestimmten Container durchzuführen, erheblich eingeschränkt. Dies kommt auch der Verbesserung der Leistung zugute, da die Menge der unnötigen Ressourcen, die einem Container zugewiesen werden, reduziert wird.
Einen schnellen Überblick über dieses Thema bietet schließlich das Docker Security Cheat Sheet des Open Web Application Security Project (OWASP).
OptinMonster WordPress-Plugin (CVE-2021-39341)
Laut der WordPress-Seite des Plugins ist OptinMonster ein Plugin, das seinen Nutzern hilft, Popups zu erstellen, um Abonnements für Leser zu ermöglichen. Zum Zeitpunkt der Erstellung dieses Artikels hat es über eine Million aktive Installationen.
Dieses Plugin verwendet API-Endpunkte, um zu funktionieren. Laut dem WordFence-Artikel waren die meisten dieser API-Endpunkte anfällig, so dass ein nicht authentifizierter Angreifer sensible Informationen exportieren und bösartigen JavaScript-Code in die WordPress-Websites einschleusen konnte, die das Plugin verwenden. Versionen vor 2.6.4 dieses Plugins sind anfällig für diese Angriffe, und es wird dringend empfohlen, dieses Plugin auf die neueste Version zu aktualisieren. Das OptinMonster-Team hat die kompromittierten API-Schlüssel zurückgesetzt, und die Benutzer müssen ihre API-Schlüssel möglicherweise neu generieren, um das Plugin weiterhin nutzen zu können.
Mit diesen Zusammenfassungen möchten wir unseren Lesern nützliche Informationen vermitteln. Hinterlassen Sie unten einen Kommentar, wenn Sie etwas Neues erfahren haben, und bleiben Sie auf dem Laufenden über die neuesten Sicherheitsnachrichten.
Kommentare