基于核的可拓展的供应链漏洞探测工具

Log4j2漏洞甫一爆发，便在全球掀起轩然大波，影响范围之广，危害性之大无出其右。Log4j2事件是一场典型的开源软件导致的供应链事件，上游软件提供商的漏洞殃及下游产业的产品提供者，依赖关系的错综复杂使影响范围扩大，最终遍及整个网络空间。Log4j2事件为安全厂商与网络安全从业者敲响了警钟，必须警惕开源软件的供应链中暗藏的危机，并采取有效行动。

一款支持多种输入格式，基于Fofa语法的主/盗贼指纹探测，基于核的可拓展的供应链漏洞探测工具。帮助红队人员快速收集信息，测绘目标资产，寻找薄弱点。

然而，Trellix研究证实，在大多数情况下，攻击者可以获得代码执行，从而使这个Python漏洞更加严重。他指出，Python的问题在过去15年中呈指数级恶化。由于易受攻击的存储库的数据量异常庞大，Trellix联系了GitHub以获得额外的访问权限，结果发现包含超过500,000个使用tarfile包的GitHub存储库。TechTarget联系微软征求意见，但截至发稿时，这家软件巨头并未发表任何声明。Trellix为供应商发布了检测工具，目前为11,000个存储库提供了补丁。

PHP Composer软件包的维护者已解决了一个严重漏洞，跟踪为CVE-2021-29472，该漏洞可能允许攻击者在每个PHP软件包中执行任意命令并建立后门。据估计，Packagist基础结构每月可处理约14亿次下载请求。* SonarSource的研究人员发现了命令注入漏洞，并警告说该漏洞可能已经被利用来进行供应链攻击。* 该问题已于4月22日报告，维护人员在不到12小时的时间内解决了该问题。

英国和韩国机构警告称，与朝鲜有关的 APT Lazarus 正在利用 MagicLine4NX 零日漏洞进行供应链攻击，MagicLine4NX是由韩国Dream Security公司开发的联合证书计划。它使用户能够使用联合证书执行登录并对交易进行数字签名。用户可以将该软件与各种应用程序集成，例如网络浏览器、电子邮件客户端和文件浏览器程序。

疫情加速云的部署，进一步降低了可见性、增加了复杂性。克雷布斯建议政府应该利用其作为消费者、执法者、防护者和推动者的角色。黑帽大会对与会网络安全专业人士的调查报告显示，对云服务攻击、勒索软件和全球供应链日益增长风险忧虑尤其突出。

供应链攻击的第一个组成部分开始于识别与具有高价值数据的企业进行数字连接的易受攻击的供应商。?Hoffman：保护企业的攻击面远远超出其内部网络、处理和存储资产。Intel 471公司如何帮助企业应对这些不断增长的威胁?Hoffman：Intel 471公司长期以来一直提供一流的威胁情报，从恶意软件到对手再到凭据。Hoffman：就像最先进的发动机发挥最高性能需要采用最高等级的燃料工作一样

调查研究发现，97%的软件供应链相关开源漏洞都是不可攻击的，但是，“可攻击性”真就是排序漏洞的最佳方法吗？

近三年来软件供应链安全概念持续升温，新型威胁仍层出不穷，从Log4j漏洞到node-ipc组件投毒，近年来自软件供应链安全威胁涌现，企业违反GPL许可证的案例也屡见不鲜。 供应链安全事件爆发的频次和影响面都在持续扩大，供应链安全已经成为企业开展经营活动不得不面对的一个隐患，也是所有安全厂商致力于要解决的问题。开源是更安全还是更不安全？

加强网络安全是防止网络攻击的最佳方式，但这并不总能阻止黑客占上风。攻击者现在已经将矛头转向供应链攻击，通过瞄准组织供应链中最薄弱的环节，以侵入目标组织的公司网络。