单月超20个CVE漏洞! 天地和兴硬核守护工业互联网和信创软件供应链安全
发布时间:
2022-06-07
来源:
作者:
天地和兴
访问量:
286
作为国内领先的工业互联网安全研究团队,天地和兴工业网络安全研究院(以下简称“研究院”)高度重视工业互联网和信创领域软件供应链安全,在关键基础开源软件安全研究工作上投入了大量资源和精力。研究院今年上半年的安全漏洞挖掘成果颇丰,仅今年5月,在一个月之内,就向CVE平台提交原创漏洞超30个,并获得CVE编号共计23个,涉及vim(用户数量最多的开源文本编辑器)、poppler(Linux系统中常用的PDF解析库)、mruby(嵌入式Ruby语言解释器)、libmobi(移动平台上常用的Mobi文件解析库)等知名开源软件,其中极危漏洞1个,高危漏洞19个,中危漏洞3个。与此同时,我们也在第一时间将漏洞信息上报至CNVD(国家信息安全漏洞共享平台)、CNNVD(国家信息安全漏洞库)、CICSVD(国家工业信息安全漏洞库)、CITIVD(信创政务产品安全漏洞专业库)和CAPPVD(工业和信息化部移动互联网APP产品安全漏洞专业库)等国内官方权威漏洞库平台,并及时通知受漏洞影响的相关厂商。
对于研究院目前取得的成绩,天地和兴CTO李凯斌表示:工业控制系统和工业互联网是重要的国家关键信息基础设施,综合近10年来针对工业控制系统和网络的APT攻击特征来看,供应链攻击是最具杀伤力、最难防范、破坏面最广的攻击手段之一,比如:2020年基础网络管理软件供应商SolarWinds的Orion软件更新包被国家级APT组织植入后门,导致包括美国军队、政府、工业基础设施超过18000家客户受到影响,可任由黑客操控。去年8月,IoT Inspector安全研究团队公布了台湾Realtek即瑞昱半导体的AP-Router SDK(开发套件)中的4个严重安全漏洞(CVE-2021-35392/3/4/5),至少有两个漏洞可被利用实现RCE,由于Realtek芯片和SDK的广泛应用,其供应链下游至少有65家设备提供商的近200款物联网设备受到这些高危漏洞的影响。这两个案例发生在商业软件供应链领域,而开源软件供应链领域的安全问题则更严重,冲击面也更广。
他还介绍到: Gartner数据显示,99%的组织在其IT系统或IT产品中直接或者间接使用了开源软件。Forrester Research的研究也表明,应用软件80%-90%的代码来自开源组件。来自美国软件供应链安全公司Sonatype的一项调查显示,在参与调查的约3000家企业中,平均每家企业每年下载约5000个开源软件。根据中国信通院调查显示,2021年我国已经使用开源技术的企业占比为88.2%。可以毫不夸张的说,开源软件是整个信息产业的技术基石,可谓关键信息基础设施中的基础设施。由于开源组件之间复杂的依赖关系,底层组件的安全漏洞会通过依赖链逐级呈几何级数传播和放大,往往会发生一个漏洞“大杀四方”的情况。比如去年年底Log4j爆出的“核弹级”RCE漏洞(CVE-2021-44228),对整个Java软件生态造成的巨大冲击到现在仍余波未平。臭名昭著的OpenSSL“心脏滴血”漏洞(CVE-2014-0160),让海量使用其进行数据传输加密的产品和服务面临数据泄露的巨大风险。
天地和兴一直高度重视工业互联网和信创领域软件供应链安全,我们可以看到,5月由安全研究院披露的23个漏洞几乎都是在被广泛应用的基础开源软件组件中发现的,比如Vim编辑器,是所有Linux和BSD发行版的必备软件,几乎每个类UNIX操作系统用户都会使用,可想而知其影响面有多大。国内的信创操作系统很多是基于某个上游Linux或者BSD发行版进行开发,供应链上游出现安全问题,下游自然不能幸免。研究院在发现漏洞的第一时间即通知相关软件的开发团队,尽快修补,并及时同步给全球主流开源操作系统提供商,快速发布安全补丁。例如Vim的十几个安全漏洞,均由我司总工程师马杰勇发现,他与Vim的作者、著名开源开发者Bram Moolenaar进行跨时区密切合作,所有漏洞均于24小时内修复。限于篇幅,每个漏洞的具体细节暂不展开,后续我们将以专题形式陆续发布有关软件供应链安全的更多内容,敬请关注!
天地和兴工业网络安全研究院作为公司重要的战略前沿技术研究部门,承担了先进技术研究与新领域的探索工作。研究院刘乐农院长介绍目前核心的研究方向包括:1、二进制安全漏洞在线检测。基于深度学习与动态分析引擎结合的模型算法设计与实现,主要面向工控安全研究与物联网安全研究所涉及的固件、协议、组态软件等。2、动态模糊测试技术。面向工业领域嵌入式固件、软件及协议,进行深度、高质、高效的自动化漏洞挖掘。3、基于流量安全威胁建模。主要是通过机器学习和深度学习技术,对威胁攻击行为进行建模,包括Scanning、DoS、DDoS、Backdoor、Injection等在内的数十种威胁行为,该项技术目前已集成到天地和兴工业安全审计平台产品中,并进入内部测试环节,很快将投入市场应用。2021年,天地和兴工业网络安全研究院共上报国家信息安全漏洞库(CNNVD)近千余个漏洞信息,在国家工业信息安全漏洞库(CICSVD)中漏洞报送总量位列第四,在工业网络安全企业中贡献排名第一。
天地和兴网络安全研究院在进行网络安全研究的同时,还为客户提供科技项目合作、专业的源代码安全审计和漏洞挖掘服务。更多合作机会,可发送邮件至anquanyanjiuyuan@tdhxkj.com与我们联系。
延 伸 阅 读
相关资讯
