Questa settimana esaminiamo le vulnerabilità Unicode, che consentono di codificare il codice in modo malevolo per farlo apparire diverso al compilatore e all'occhio umano. Parleremo anche di sicurezza dei container e di un plugin WordPress vulnerabile che riteniamo richieda attenzione.
Sorgente del trojan (CVE-2021-42574)
Un recente documento pubblicato da due ricercatori dell'Università di Cambridge dimostra che l'uso esclusivo dei caratteri di esclusione della direzionalità Unicode nel codice potrebbe indurre i lettori umani a interpretare erroneamente il codice come sicuro, consentendo al contempo a soggetti malintenzionati di introdurre alterazioni logiche nella base di codice. I ricercatori hanno creato un repository GitHub per dimostrare come questi caratteri possano essere utilizzati in diversi linguaggi di programmazione.
#!/usr/bin/env python3
def sayHello():
print("Hello, World!")
def sayHello():
print("Goodbye, World!")
sayHello()Si può sapere quale funzione verrà eseguita? Un compilatore può farlo!
Questo problema può avere molteplici implicazioni per la sicurezza. Il codice dannoso può essere introdotto in un repository pubblico altrimenti sicuro per attacchi alla catena di distribuzione. Anche il codice copiato da forum pubblici può contenere queste alterazioni logiche dannose. Nel documento si dice che la maggior parte dei compilatori è vulnerabile a questi problemi e anche se alcune comunità hanno riconosciuto il problema (vedi Rust e GitHub), è noto che la maggior parte è ancora vulnerabile.
Migliori pratiche di sicurezza per i container
Secondo Docker, un container è un'unità standard di software che racchiude il codice e tutte le sue dipendenze. L'applicazione viene eseguita in modo rapido e affidabile da un ambiente informatico all'altro. Ciò consente di distribuire l'immagine di un'applicazione senza apportare modifiche a diversi sistemi operativi host. Sebbene queste immagini container siano isolate dal sistema operativo sottostante, una vulnerabilità sfruttabile all'interno di un container può compromettere l'intera infrastruttura cloud, secondo la guida Comprehensive Container Security di sysdig. Secondo il sondaggio 2020 della Cloud Native Computing Foundation (CNCF), l'uso dei container in produzione è aumentato al 92%, il che significa che è più importante che mai proteggere queste istanze.
Offriamo una nostra guida alla sicurezza dei container che approfondisce l'uso degli strumenti e delle procedure raccomandate per creare immagini Docker sicure. Consigliamo di seguire queste best practice per proteggere meglio i vostri container:
- Aggiornare regolarmente le immagini per ridurre il numero di vulnerabilità in un contenitore.
- Eseguire frequenti scansioni delle vulnerabilità utilizzando uno strumento di scansione delle vulnerabilità come Trivy, uno strumento gratuito e open-source creato per questo scopo.
- Creare utenti limitati per l'esecuzione dei container ed evitare di eseguire i container come utente root, quando possibile. È importante esercitare il principio del minimo privilegio quando si usano i container.
- Limitare la CPU e la RAM utilizzate da un contenitore. I limiti all'uso dell'hardware riducono notevolmente la capacità di un attaccante di eseguire il crypto mining su un determinato contenitore. Questo va anche a vantaggio del miglioramento delle prestazioni, riducendo la quantità di risorse inutili allocate per un contenitore.
Infine, è possibile consultare il Docker Security Cheat Sheet fornito dall'Open Web Application Security Project (OWASP) per una rapida panoramica sull'argomento.
Plugin WordPress OptinMonster (CVE-2021-39341)
Secondo la pagina WordPress del plugin, OptinMonster è un plugin che aiuta gli utenti a creare popup per consentire l'iscrizione dei lettori. Al momento in cui scriviamo, ha oltre un milione di installazioni attive.
Questo plugin utilizza API per funzionare. Secondo l'articolo di WordFence, la maggior parte di questi API endpoint erano vulnerabili, consentendo a un utente non autenticato di esportare informazioni sensibili e di iniettare codice JavaScript dannoso nei siti WordPress che utilizzano il plugin. Le versioni precedenti alla 2.6.4 di questo plugin sono aperte a questi attacchi e si consiglia vivamente di aggiornare il plugin alla versione più recente. Il team di OptinMonster ha ripristinato le chiavi compromesse. API compromesse e gli utenti potrebbero dover rigenerare le loro API chiavi per continuare a utilizzare il plugin.
Preparando questi digest, ci proponiamo di condividere informazioni utili con i nostri lettori. Sentitevi liberi di lasciare un commento qui sotto se avete imparato qualcosa di nuovo e rimanete sintonizzati per le ultime notizie sulla sicurezza.
Commenti