从RCE漏洞看国产网络安全产品的沦陷，论软件安全的重要性 – 作者:seczone

近日，深信服EDR终端检测响应平台RCE漏洞复现，该事件引发了业内强烈关注。监控发现网络上出现关于深信服EDR终端检测响应平台存在0day漏洞信息，经过追踪调查确认该漏洞真实存在。攻击者利用该漏洞，可在未授权的情况下向目标服务器发送恶意构造的HTTP请求，从而获得目标服务器的权限，实现远程命令执行。2020年8月18日，国家信息安全漏洞共享平台（CNVD）收录了深信服终端检测平台（EDR）远程命令执行漏洞（CNVD-2020-46552），并对该漏洞的综合评级为“高危”。

一位安全研究人员披露了影响基于OpenWrt Linux操作系统的网络设备的严重远程执行代码漏洞。该漏洞被命名为CVE-2020-7982，存在于OpenWrt的OPKG软件包管理器中。

2、Zoom修复了影响Windows 7的零日RCE错误，即将推出更多更新

在Mitron应用程序中披露漏洞之后，发现印度的另一个病毒性TikTok克隆容易受到一个关键但易于利用的身份验证绕过漏洞的攻击，从而允许任何人劫持任何用户帐户并篡改其信息和内容，甚至上传未经授权的视频。

4、新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”

Jenkins作为最受欢迎的持续集成(CI)工具，使用量很大。上一次Jenkins远程命令执行漏洞(CVE-2017-1000353)的曝光，导致了“史上最大规模挖矿事件之一”，攻击者收益逾300万美元。

导致RCE（远程代码执行）问题的原因多种多样，常见的安全漏洞如：命令行注入，不安全的反序列化，不安全的文件操作（上传下载等），模板注入（CSTI/SSTI），表达式注入（EL表达式注入），UDF（数据库用户自定义函数），BOF（缓冲区溢出）等都可以导致远程命令执行问题。这些漏洞的检测难易程度不一，RCE问题的检测方案不可单一而论。

RCE安全问题的解决思路与建议

2、实现复杂功能过程中无意引入的（团队安全意识和安全编码规范要求已非常强）

第一种场景是最常见的，目前国内研发环境，很少有研发人员会关注到安全因素，导致程序内大量的安全问题都是依赖后期安全测试环节去发现。微软早起也是这种发展模式，然而其产品线爆出的安全问题越来越多，修复成本也越来越高，所以微软推出了SDL的概念，从研发环节解决安全问题，效果明显！

第二种场景很难从编码角度去防范，因为本身功能需求实现起来难度非常大，且代码逻辑非常复杂，通过常规的代码审计工具和人工审计，几乎不能发现潜在的RCE风险，针对这种场景，需要从自动化模糊测试的角度出发，来辅助发现未知安全风险。通过自动化模糊测试工具，可以发现复杂功能中的不当处理问题，进而帮助研发人员杜绝可能造成RCE风险的途径。

针对第三种场景，需要引入SCA（软件成分分析）检测技术，SCA检测技术可以应用在不同环节，如第三方组件进入企业私库过程中添加SCA检测做入库审计，或者通过对接SCM平台以及软件构建平台，将SCA检测能力集成到软件开发的CI/CD过程中，同步发现潜在的已知安全风险。

简单的漏洞检测如命令行注入、不安全的文件操作等，其产生的原因，往往是因为研发团队的安全开发意识和能力不足，并且缺乏相应的检测和审计机制。作为安全代表公司都会出现“低级”代码问题，可见大多数公司在软件安全层面的“缺失”： 1、安全生命周期管理流程缺失；2、软件安全自动化测试工具缺失；3、安全编码意识缺失。

开源网安作为国内领先的软件安全开发生命周期（S-SDLC）解决方案提供商，以“让企业交付更安全的软件”为核心理念，强调从软件诞生的源头出发，助力企业构建内生安全体系。

开源网安提供系列化软件安全产品（IAST、SAST、SCA、FUZZ、RASP）以及安全平台，实现快速交付的同时保障软件安全质量。自2013年成立以来，开源网安专注于软件安全开发领域，始终以自主创新为发展源动力。公司以清晰的市场策略和产品规划，自研软件安全产品、解决方案和服务已成功应用于金融、央企、政府、行业监管、国内软件百强等大型企业，其中包含：华为、百度、平安银行、中信银行、微众银行、国信证券、国家电网、南方电网、中国石油、金蝶软件、碧桂园等国内知名企业。

来源：freebuf.com 2020-08-20 17:41:36 by: seczone