Apache OpenWhisk 缺陷可導致攻擊者在 IBM 雲中覆寫代碼

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

研究人員在Apache OpenWhisk無伺服器雲平台中發現了兩個漏洞，可導致惡意人員覆寫並執行任意代碼。

Apache OpenWhisk 是一個開源平台，旨在執行響應事件的代碼。該平台處理基礎設施和伺服器，以便用戶能集中開發自己的應用程序。

IBM Cloud Functions 功能即服務 (FaaS) 平台基於 Apache OpenWhisk，因而易受攻擊。

其中一個漏洞 CVE-2018-11757，是由 PureSec 公司的研究人員發現的。另外一個漏洞 CVE-2018-11756 是在調查第一個漏洞時發現的。

Apache OpenWhisk 開發人員和 IBM 均已創建補丁。

PureSec 公司的研究人員表示，這些漏洞本可允許攻擊者在某些情況下覆寫在容器中執行的某個函數的源代碼並影響同樣容器中的後續執行，即使是由不同用戶執行的也不例外。

漏洞如遭利用，可導致敏感數據遭泄露或導致合法動作的原始邏輯遭惡意執行。研究人員指出，「另外，攻擊者可能發動類似攻擊，從而影響其它容器，導致攻擊變成更具持續性或傳播廣泛的威脅」。

具體而言，PureSec 表示，攻擊者可利用這些缺陷獲取敏感的用戶數據如密碼、修改或刪除信息、挖掘密幣或發動分散式 DDoS 攻擊。

OpenWhisk 在 Docker容器中運行每個動作（函數）並且和函數的交互涉及可經由埠8080訪問的 REST 介面。每個容器都有兩個端點：/init用於接收將被執行的代碼；而 /run 用於接收該動作的參數並執行代碼。

如果攻擊者能在函數中找到漏洞如遠程代碼執行缺陷，則能強制向埠 8080 上的 /init 介面啟動本地 HTTP 請求並覆寫源代碼。

PureSec 已公布技術公告、博客文章以及視頻，展示了針對 IBM 雲函數的攻擊。

Apache OpenWhisk 的其中一名創建人員指出，「PureSec 研究顯示，對於受影響的函數運行時而言，成功利用易受攻擊的函數的攻擊者如通過遠程代碼執行或劫持參數，能夠替換容器中正在運行的代碼，那麼復用該容器的後續函數調用就在使用新代碼。」

Rabbah 指出，「Apache OpenWhisk 社區快速響應 PureSec 研究報告並審計了函數可用的所有運行時。它包括 Node.js、Python、Swift、Java、PHP 和即將增加的 Ruby 和 Ballerina。所有的運行時目前均監測某函數何時嘗試在運行容器中進行轉換，並統一生成警告信息，這樣如果函數易受代碼利用，那麼開發人員就能夠觀測到並做出響應。」

https://www.securityweek.com/apache-openwhisk-flaws-allowed-attackers-overwrite-code-ibm-cloud

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！