Apache Velocity XSS漏洞影响政府网站，该漏洞已修复但未披露 – 作者:偶然路过的围观群众

Apache Velocity Tools中存在一个未披露的跨站脚本（XSS）漏洞，未经身份验证的攻击者可利用该漏洞攻击政府网站，包括美国国家航空航天局（NASA）和美国国家海洋和大气管理局（NOAA）。

虽然该漏洞得到报告并修复后已经过去了90天，但该项目尚未正式披露该漏洞。

Apache Velocity是一个基于Java的模板引擎，开发人员使用它来设计模型-视图-控制器（MVC）架构中的视图。

Velocity Tools是一个由类组成的子项目，这些类进一步简化了标准和web应用程序中的Velocity集成。

使用Apache Velocity Tools的政府网站易受XSS攻击

Apache Velocity Tools存在一个未披露的XSS漏洞，尽管补丁数月前已在GitHub上发布，该漏洞影响Apache Velocity Tools所有版本。

虽然该漏洞还没有正式披露，但是该漏洞已在内部获得CVE编号CVE-2020-13959。

包含该漏洞的Apache Velocity Tools类包含在许多知名软件应用程序的2600多个二进制文件中，这些应用程序可从npm、PyPI、Maven Central和其他开源存储库下载。

该组件在开发人员中非常流行，所以及时披露影响Velocity Tools的漏洞至关重要。

道德黑客团队Sakura Samurai的安全研究人员Jackson Henry在2020年10月初首次发现该漏洞并向Apache报告。

虽然该项目已经承认了Henry的报告，并于2020年11月5日在GitHub上发布了一个公开可见的补丁，但从未进行过适当的公开披露，这让Sakura Samurai的研究人员感到担忧。

该反射型XSS漏洞存在于VelocityViewServlet view class渲染错误页面的方式中。

当访问无效的URL时，“找不到模板”错误页面会按原样反射URL的资源路径部分，而不会对潜在的XSS脚本进行转义。

因此，攻击者可以诱使受害者点击特殊构造的URL，将受害者引向经过修改的钓鱼页面，或窃取他们的登录会话信息。

使用脆弱的Apache Velocity Tools实例的政府网站包括*.nasa.gov和*.gov.au。

NASA政府子域易受Apache Velocity Tools XSS漏洞影响

当与一些社会工程技巧相结合时，攻击者可以利用该XSS漏洞更复杂的变体，收集登录用户的会话cookie，并可能劫持他们的会话。

这尤其会影响托管在政府域上的员工和承包商登录门户，如下图所示。

可致攻击者从*.gov.au域获取会话cookies的PoC XSS exp

Apache：漏洞报告按严重等级排序

对于此事，Apache软件基金会（ASF）表示，Apache安全团队一年内会收到数百份漏洞报告，他们会根据漏洞的严重等级及时做出回应。

关于Apache Velocity Tools中的XSS漏洞，漏洞报告者于2020年10月6日首次联系了Apache安全团队，他披露了他们发现的影响部分Velocity Tools数据包的漏洞。

ASF私下与Apache Velocity项目管理委员会（PMC）共享了该报告，后者于10月7日调查并接受了报告，同时建议漏洞报告者提交补丁。

随后，该报告者提交了一个pull请求，在几个星期的时间里，Velocity团队都在改进该补丁。该补丁在11月5日得到应用。报告者在10月8日公开了他们的补丁，由于该漏洞并不是个严重漏洞，Velocity团队决定继续公开处理该漏洞。

ASF安全团队的副总监Mark J Cox表示，该漏洞于10月8日得到内部编号CVE-2020-13959。

该项目的下一步是发布一个提及该CVE的Velocity Tools修复版本，以及一个升级路径，但是版本发布日期尚未确定。

然而，不想等待更新版本发布的用户可以自己尝试应用公开可见的补丁。

厂商作为CNA引起越来越多的关注

最近，随着漏洞报告的数量继续呈指数级增长，负责分配CVE编号的非营利机构MITRE遇到了可扩性挑战。

为了加快CVE的分配和负责任的披露过程，MITRE引入了CVE编号机构（CNA）的概念。

获得认可成为CNA的组织有权为漏洞报告分配CVE，并代表MITRE处理负责任的披露过程。

然而，最近，越来越多的厂商开始成为CNA，并控制漏洞披露过程。

这引起了信息安全专业人士的担忧，这种发展从长远来看是否实际上会阻碍安全性。

正如媒体（The Daily Swig）之前报道的那样，根据MITRE的规定，CNA不需要将CVE分配给私下报告给项目的漏洞，其中一些项目可能包括他们自己的产品。

这意味着厂商现在甚至可以悄悄地解决最严重的安全漏洞，而不必立即公开报告。

最近，VMWare就发生了这样一起案例。当时PT Swarm的研究人员报告了vCenter中的一个文件读取漏洞，VMWare悄悄修复了该漏洞，且没有立即发布CVE。

公司需要认真对待安全漏洞，并与研究人员合作设计补丁。

Sakura Samurai的研究人员Henry表示，沟通和状态更新对于与研究人员随时保持联系至关重要，这是修复措施的一个重要方面，可能会被忽视，甚至有损于透明度。

Apache安全团队的CVE处理过程，有时可能会短暂地延迟非严重漏洞的披露。

Apache安全团队称，“对于非严重漏洞，一些项目会短暂地推迟发布时间，以便同时解决其他问题。在这个事件中值得注意的是，漏洞报告者发送给ASF安全团队的每一封电子邮件都在一个工作日内得到了回复，报告者称赞我们响应快速，因此得知报告者觉得该漏洞被掩盖了，我们有点惊讶。”

作者：Ax Sharma
来源：Bleeping Computer

来源：freebuf.com 2021-01-18 17:01:07 by: 偶然路过的围观群众