Avançar para o conteúdo principal
BlogSegurançaLinode Security Digest 31 de Outubro - 7 de Novembro de 2021

Linode Security Digest 31 de outubro - 7 de novembro de 2021

Linode Security Digest

Esta semana, revemos vulnerabilidades Unicode, que permitem que o código seja maliciosamente codificado de modo a parecer diferente para um compilador e para o olho humano. Também vamos falar sobre segurança de contentores e um plugin WordPress vulnerável que pensamos que requer atenção.

Fonte de Tróia (CVE-2021-42574)

Um artigo recente publicado por dois investigadores da Universidade de Cambridge mostra que o uso único de caracteres de sobreposição de direccionalidade Unicode em código poderia levar os leitores humanos a interpretar mal o código como sendo seguro, ao mesmo tempo que permitiria aos actores maliciosos introduzir alterações lógicas na base de código. Os investigadores criaram um repositório GitHub para demonstrar como estes caracteres podem ser utilizados em diferentes linguagens de programação.

#!/usr/bin/env python3

def sayHello():
    print("Hello, World!")

def sayHello():
    print("Goodbye, World!")

sayHello()

Sabe dizer qual a função que irá funcionar? Um compilador pode!

Esta questão pode ter múltiplas implicações de segurança. O código malicioso pode ser introduzido num repositório público de outro modo seguro para ataques da cadeia de abastecimento. O código copiado de fóruns públicos também pode conter estas alterações lógicas maliciosas. É mencionado no documento que a maioria dos compiladores são vulneráveis a estas questões, e mesmo que algumas comunidades tenham reconhecido o problema (ver Rust e GitHub), sabe-se que a maioria ainda é vulnerável.

Melhores Práticas de Segurança de Contentores

Segundo o Docker, um contentor é uma unidade padrão de software que embala o código e todas as suas dependências. A aplicação funciona de forma rápida e fiável de um ambiente informático para outro. Isto permite implantar uma imagem da aplicação sem fazer alterações em diferentes sistemas operativos anfitriões. Embora estas imagens de contentores estejam isoladas do sistema operativo subjacente, uma vulnerabilidade explorável dentro de um contentor pode comprometer toda a sua infra-estrutura de nuvem, de acordo com o guia Comprehensive Container Security do sysdig. De acordo com o inquérito da 2020 Cloud Native Computing Foundation (CNCF), a utilização de contentores na produção aumentou para 92%, o que significa que é mais importante do que nunca proteger estas instâncias.

Oferecemos o nosso próprio guia de segurança de contentores que entra em mais detalhes sobre a utilização de ferramentas e procedimentos recomendados para construir imagens Docker seguras. Recomendamos que siga estas melhores práticas para proteger melhor os seus contentores:

  • Actualizar as imagens regularmente para reduzir o número de vulnerabilidades de um contentor. 
  • Frequentemente, procura vulnerabilidades utilizando uma ferramenta de varrimento de vulnerabilidades como Trivy, uma ferramenta gratuita e de código aberto construída para este fim.
  • Criar utilizadores limitados para a exploração de contentores e evitar correr os contentores como utilizador de raiz sempre que possível. É importante exercer o princípio do privilégio mínimo ao utilizar contentores.
  • Limitar a CPU e a RAM que um contentor utiliza. Os limites de utilização de hardware mitigam grandemente a capacidade de um atacante de efectuar mineração criptográfica num determinado contentor. Isto também beneficia a melhoria do desempenho ao reduzir a quantidade de recursos desnecessários atribuídos a um contentor.

Finalmente, pode consultar a Folha de Controlo de Segurança do Docker fornecida pelo Open Web Application Security Project (OWASP) para uma rápida visão geral sobre este assunto.

OptinMonster WordPress Plugin (CVE-2021-39341)

De acordo com a página WordPress do plugin, OptinMonster é um plugin que ajuda os seus utilizadores a construir popups para permitir a subscrição para os leitores. A partir desta escrita, tem mais de um milhão de instalações activas.

Este plugin utiliza API endpoints para funcionar. De acordo com o artigo do WordFence, a maioria destes API endpoints eram vulneráveis, permitindo a um atacante não autenticado exportar informação sensível e injectar código JavaScript malicioso nos sites WordPress usando o plugin. As versões anteriores ao 2.6.4 deste plugin estão abertas a estes ataques, e é altamente recomendável actualizar este plugin para a versão mais recente. A equipa do OptinMonster redefiniu as chaves comprometidas API , e os utilizadores poderão ter de regenerar as suas chaves API para continuarem a utilizar o plugin.

Ao preparar estes resumos, o nosso objectivo é partilhar informação útil com os nossos leitores. Sinta-se à vontade para deixar um comentário abaixo se tiver aprendido algo novo, e fique atento às últimas notícias sobre segurança.


Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *