本周安全态势综述

OSCS 社区共收录安全漏洞 31 个，值得关注的是 Apache Hive 未授权访问 UDF 漏洞（CVE-2021-34538），Node.js DLL 劫持漏洞（CVE-2022-32223）和 ORails 框架下 activerecord 模块反序列化漏洞（CVE-2022-32224）。

针对 NPM 和 PyPI 仓库，共监测到 12次 投毒事件，涉及 106个 不同版本的 NPM 组件，9个 PyPI 组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

Apache Hive 未授权访问 UDF 漏洞（CVE-2021-34538）

Apache Hive 是一个建立在 Hadoop 架构之上的数据仓库。Apache Hive 受影响版本的 “CREATE” 和 “DROP” 功能操作不会检查查询中涉及实体的授权。未经授权的用户可以在没有权限的情况下操作现有的 UDF，并将其指向恶意构造的 jar。

https://www.oscs1024.com/hd/MPS-2021-25837

Node.js DLL 劫持漏洞（CVE-2022-32223）

Node.js一个基于Chrome V8 引擎 的JavaScript 运行环境。由于 Node.js 进程尝试加载 providers.dll 时没有指定DLL的绝对路径，Windows 会按照特定策略进行搜索以找到所需的 DLL 文件。攻击者上传包含恶意 DLL的 npm 组件，受害者下载并使用，会替换本机的providers.dll文件，通过 dll 劫持实现执行任意远程代码。

https://www.oscs1024.com/hd/MPS-2022-17176

ORails 框架下 activerecord 模块反序列化漏洞（CVE-2022-32224）

Rails 是一个 Web 应用程序框架。当反序列化使用 YAML（默认）的序列化时，Rails 使用YAML.unsafe_load 将 YAML 数据转换为 Ruby 对象。如果攻击者可以操纵数据库中的数据（通过 SQL 注入等手段），那么攻击者就有可能远程命令执行。

https://www.oscs1024.com/hd/CVE-2022-32224

投毒风险监测

OSCS 针对 NPM 和 PyPI 仓库监测的恶意组件数量如下所示，NPM 投毒数量远远多于 PyPI，并且时间主要集中在周三、周六。

投毒行为中 47.8% 是尝试获取并主机敏感信息（如 IP、主机名等），进行相关风险的验证，36.5% 存在仅获取了主机的环境变量。

NPM 中恶意包利用环境变量差异绕过检测：

OSCS 监测发现 NPM 仓库中上传了 branch-node-core、epic-ue-loading 两个恶意组件包，出自相同的模板，通过多种方式绕过静态、动态检测机制。由于发现这些恶意组件包在不同环境中的运行结果并不相同，OSCS 对代码进行了分析，发现这些恶意组件包会检测用户运行环境的特征，根据特征判断是否进入恶意逻辑。

https://mp.weixin.qq.com/s/YJHbMWDYZl-6VohM6q89gQ

其他资讯

约有 160万 个 WordPress 网站正在遭受大规模的网络攻击

https://hothardware.com/news/massive-cyberattack-campaign-targets-16m-wordpress-sites-for-vulnerable-plugins

DHS 首份网络安全审查委员会报告认为 Log4j 已成为待续性威胁

https://www.cnbeta.com/articles/tech/1292507.html