murphysec的博客

​2023年8月14日晚，墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章，紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview，该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1)，且该域名注册时间就是8月14号，投毒者使用的注册邮箱同样是hotmail临时注册的邮箱，很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线，大哥，速度要不要这么快 -_-!

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。企业微信私有化版本@[2.5.0, 2.6.930000)

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。官方已发布补丁：https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5。

2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令，该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Smartbi一站式BI大数据分析平台@[V9, V10]

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。

JeecgBoot是一款开源的企业级低代码平台，提供了表单、视图、流程等一键生成代码功能，目前在GitHub具有 35.5k star。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Zoom 是一种用于视频会议、在线会议和远程协作的软件平台。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。Microsoft Exchange Server 受影响版本中，具有普通用户权限（Exchange 用户凭据）的攻击者可能在同一内网环境中攻击Exchange服务，远程执行任意代码。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。Microsoft Teams 受影响版本中，当用户加入攻击者设置的恶意 Microsoft Teams 会议时，攻击者可远程执行任意代码。升级Microsoft Teams for iOS到 5.12.1 或更高版本。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。避免点击带有超链接的图片或对象。

PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。PowerJob

Foxit PDF阅读器是福昕软件公司推出的一款广泛使用的PDF文档阅读器。在受影响版本中，由于其javascript引擎存在use-after-free漏洞，攻击者可以构造恶意的PDF文件，通过文件中包含的deletePages()等操作使福昕PDF阅读器过早删除与页面关联的对象，并触发重用逻辑，可能导致任意代码执行漏洞。

Apache ShardingSphere 是一个开源的分布式数据库中间件。在 Apache ShardingSphere 受影响版本中，由于 Apache ShardingSphere-Agent 在反序列化 YAML 配置文件时未正确验证不受信任数据，攻击者可以利用 SnakeYAML 反序列化 java.net.URLClassLoader 加载恶意 JAR 文件，再结合 javax.script.ScriptEngineManager 反序列化 JAR 文件来执行恶意代码。

Confluence 是由 Atlassian 开发的知识管理与协同软件，通常在企业内部用作wiki系统。Confluence 7.19.8到8.2.0之前的版本中存在远程代码执行漏洞，具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。

Citrix ADC是应用程序交付和负载平衡解决方案，Citrix Gateway是一套安全的远程接入解决方案，常用于提供虚拟桌面和远程桌面服务，此外，Citrix ADC还被广泛用作Windows堡垒机。在 Citrix ADC 和 Citrix Gateway 受影响版本中，如果设备配置为网关（VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或身份验证虚拟服务器。

Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。在 Spring Security 受影响的版本中，由于 Spring Security 的授权规则会应用于整个应用程序上下文，当应用程序中包含多个servlet，并且其中一个为DispatcherServlet时 ，使用 requestMatchers(String) 方法错误地将非 Spring MVC 的端点添加到授权规则中，攻击者可以发送请求到这个的端点，从而绕过授权规则获得访问权限。

Thymeleaf 是用于构建动态的 Web 应用程序的 Java 模板引擎，Spring Boot Admin 是开源的管理和监控 Spring Boot 应用程序的Web UI。

vm2 是一个基于 Node.js 的沙箱环境，Promise 对象用来处理异步代码。3.9.19 及之前版本中，Promise 处理程序的过滤机制可以被绕过，攻击者能绕过沙箱在主机上运行任意代码。该组件官方已停止维护，建议开发者更换为 isolated-vm。

RocketMQ 是一个开源的分布式消息中间件，NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。

Windows 是微软公司开发的操作系统，Office 是微软公司的办公套件，包括常用的办公应用程序如 Word、Excel、PowerPoint 等。受影响的 Windows 和 Office 产品中由于未正确处理跨协议文件导航，当用户打开攻击者恶意构造的 Microsoft Office 文档时，攻击者可在用户主机远程执行任意代码，建议及时更新漏洞补丁

NET 是一个由微软开发的软件框架，diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞，任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。

泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。10.58.0 及之前版本中，未经身份验证的攻击者可通过sql注入获取目标系统数据库中的任意数据，进而获取系统权限。该漏洞Poc已公开，建议尽快更新补丁

Smartbi是一款企业级商业智能与大数据分析平台。由于Smartbi登录代码存在逻辑缺陷，攻击者可利用该漏洞登录管理员账号，进而利用系统后台加载扩展包功能执行任意代码。

Apache Airflow 是一个开源的任务和工作流管理平台，ODBC Provider 是 Apache Airflow 的一个数据库管理/插件。Apache Airflow ODBC Provider 受影响版本中，由于 odbc.py#driver 方法未对用户可控的 ODBC 驱动程序参数(driver)有效过滤，攻击者可在实例化 Hook 对象时传入包含恶意 driver 的 extras 参数，通过 ODBC 驱动加载并执行系统中的任意动态链接库。

Grafana 是一个跨平台、开源的数据可视化网络应用平台。Azure AD 是由微软提供的一种云身份验证和访问管理服务。在 Azure AD 中，多个用户可以拥有相同的电子邮件地址。攻击者可以创建一个与目标 Grafana 账户相同的电子邮件地址的恶意帐户，并且在 Azure AD 中配置支持多租户。当 Grafana 使用 Azure AD 进行身份验证时，由于没有对 Azure AD 租户邮箱的唯一性进行验证，攻击者可以通过身份验证，接管目标用户的 Grafana 账户。

Apache StreamPipes 是一个开源的数据流处理框架。Apache StreamPipes 受影响版本中由于 UserResource.java 中的 updateAppearanceMode、registerUser、registerService 函数未对用户身份进行验证，具有登录权限的普通用户可通过 {userId}/appearance/mode/{darkMode}、/user、/service API接口执行更改外观主题、注册新的用户或服务。

Apache Accumulo是一个排序分布式的 Key-Value 存储应用。在Apache Accumulo 2.1.0版本中，AccumuloClient 在构造新的实例时移除了自动身份验证机制，身份验证始终在 shell 中进行。当 shell 闲置时间过长，需要重新进行身份验证时，由于身份凭证存放在客户端的配置文件中，用户输入任何内容都可以通过验证。

Guava 是 Google 公司开发的开源 Java 代码库，提供常用的Java工具和数据结构。Guava 1.0 至 31.1 版本中的 FileBackedOutputStream 类使用Java的默认临时目录创建文件，由于创建的文件名容易被攻击者猜测，在 Unix 和 Android Ice Cream Sandwich 系统中，允许具有访问默认 Java 临时目录权限的攻击者可创建同名的恶意文件造成文件冲突，如果应用程序依赖于攻击者创建的恶意文件，攻击者可操控应用程序的行为。

Openfire是Java开发且基于XMPP（前称Jabber，即时通讯协议）的开源实时协作（RTC）服务器。在受影响版本中，由于路径验证机制存在缺陷，攻击者可以通过/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp形式的URL绕过访问控制，未授权访问后台页面，并进一步利用安装插件功能远程执行任意代码。

Apache NiFi 是一个开源的数据流处理和自动化工具，DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务，用于提供对数据库的连接池管理功能。Apache NiFi 受影响版本，由于 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务未对用户配置的 H2 驱动程序的 URL 字符串进行验证，经过身份验证的攻击者可构造包含恶意负载的 H2 JDBC URL，在目标服务器上执行恶意代码。

Apache NiFi 1.8.0 至 1.21.0 版本中，由于 JndiJmsConnectionFactoryProvider 控制器服务允许已授权的用户配置 URL 和库属性，经过身份验证的攻击者可在 ConnectionFactory 中将 JndiJmsConnectionFactoryProvider 的 JMS 连接地址配置为恶意的 JNDI 服务器，通过反序列化恶意构造的数据远程执行恶意代码

crypto-js 是一个 JavaScript 加密库，用于在浏览器和 Node.js 环境中执行加密和解密操作。crypto-js 3.2.1 之前版本中的 secureRandom 函数通过将字符串 0. 和三位随机整数拼接的格式生成加密字符串，攻击者可通过爆破破解加密字符。

VMware Aria Operations for Networks (前名为vRealize Network Insight)是 VMware 公司提供的一款网络可视性和分析工具，用于优化网络性能或管理各种VMware和Kubernetes部署。VMware Aria Operations for Networks 6.x版本中由于 createSupportBundle 方法在执行系统调用之前未对用户提供的字符串进行验证，未经身份验证的攻击者可以 root 的身份远程执行任意代码。

GeoServer是一款开源地图服务器，主要用于发布、共享和处理各种地理空间数据。在GeoServer 的受影响版本中由于未对用户传入的 CQL_FILTER参数进行安全校验，在以数据库作为数据存储时，攻击者可构造攻击语句，绕过GeoServer语法解析，通过sql注入获取数据库敏感信息。在GeoServer默认配置中，内置图层数据存放在文件中，不受此漏洞影响，若应用程序创建自定义图层并使用外置数据库才会受此漏洞影响。

Kubernetes secrets-store-csi-driver 是一个用于 Kubernetes 的 CSI 驱动程序，它提供了一种将外部密钥存储系统中的凭据注入到 Kubernetes Pod 的机制。在 secrets-store-csi-driver 受影响版本中，当在 CSIDriver 对象中配置了 TokenRequests 并且将驱动程序日志设置为级别 2 或更高的级别时，会将服务账号令牌记录到日志中。攻击者访问日志时可以获取到这些敏感信息。