本周,我们将讨论Linux内核中的一个易受攻击的模块和两个相当新的平台,帮助网络安全行业识别和缓解漏洞。
Linux内核任意代码执行 (CVE-2021-43267)
根据Sentinel实验室最近发布的一份报告,Linux内核5.10至5.15版本中的TIPC模块包含一个允许远程和本地任意代码执行的漏洞。
透明进程间通信(TIPC)是一个专门为集群内通信设计的协议。Sentinel实验室报告说,由于这个内核模块缺乏适当的检查,攻击者可以制作一个数据包,通过在为数据包分配的内存范围之外进行编写,从而执行任意代码。该漏洞的CVSS评分高达9.8分,但幸运的是,没有关于任何人积极利用该漏洞的报告。我们建议我们的客户将他们的Linux内核更新到一个有补丁的版本,以解决这个问题。
CI/CD威胁矩阵
根据RedHat的说法,CI/CD是一种通过在应用开发阶段引入自动化来频繁向客户交付应用的方法。归属于CI/CD的主要概念是持续集成、持续交付和持续部署。这些相连的做法通常被称为 "CI/CD管道"。
由Mercari安全团队创建的CI/CD威胁矩阵旨在与网络安全社区分享关于保护CI/CD管道的知识。Mercari的威胁矩阵类似于Mitre ATT&CK框架,它提供了基于真实世界观察的对手技术和缓解方法。在这些CI/CD开发技术的每个步骤下列出的缓解方法对于识别和弥补管道中的安全漏洞非常有用。
在野外
根据Check Point的网络攻击趋势报告,在整个2020年上半年,80%的观察到的攻击利用了2017年及以前报告和注册的漏洞。超过20%的攻击使用了至少七年前的漏洞。这一数据表明,已知多年的漏洞仍然是最普遍的威胁之一。inTheWild旨在分享关于目前在世界各地被利用的已知漏洞的信息。
尽快修补任何易受攻击的系统非常重要。在存在多个漏洞的环境中,您如何知道首先要解决哪些漏洞? inTheWild 可以帮助您优先处理最需要关注的漏洞。通过使用他们的 API和RSS 源,您可以了解组织面临的威胁。您还可以在 Twitter 上@inthewildio或使用 #exploitedinthewild 标签与社区分享漏洞信息。分享这些信息有助于 inTheWild 为每个人提供更丰富的安全情报。
使用和贡献开源工具,同时在社区内分享知识,有助于我们所有人保护我们的系统安全。我们将在接下来的安全摘要中分享更多关于我们用来保护基础设施的工具。同时,我们希望听到你最喜欢的开源安全工具。欢迎在下面留言。
注释