CDIC 2023

พนักงาน Google ตั้ง Operation Rosehub แพตช์ช่องโหว่ Mad Gadget ในโปรเจคโอเพ่นซอร์สบน Github

หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github  

ช่องโหว่ Deserialization ที่ว่านี้มีอยู่ใน Apache Commons Collections 7 เวอร์ชั่น (3.0, 3.1, 3.2, 3.2.1 และ 4.0) ซึ่งเป็นทื่ใช้กันอย่างแพร่หลายในซอฟต์แวร์ธุรกิจที่มีการ deserialize และส่งข้อมูลข้าม network ส่งผลให้ข้อมูลเหล่านี้ถูกจารกรรมได้โดยง่าย

แต่โปรเจคโอเพ่นซอร์สนั้นไม่เหมือนซอฟต์แวร์ธุรกิจที่มักมีการเฝ้าระวังด้านความปลอดภัยอยู่ตลอด พนักงานหญิงคนหนึ่งของกูเกิลค้นพบในเดือนมีนาคมปี 2016 ว่ายังมีโปรเจคโอเพ่นซอร์สจำนวนไม่น้อยเลยที่ยังมีช่องโหว่นี้ เธอจึงเริ่มส่ง pull request ไปยังโปรเจคต่างๆเพื่อขอแก้ไขโค้ดเพื่อแพตซ์ช่องโหว่นี้ การแก้ไขนี้สามารถทำได้อย่างง่ายและรวดเร็ว ไม่นานนักเธอจึงเริ่มชักชวนเพื่อนร่วมงานเข้ามาช่วยแพตซ์ช่องโหว่นี้ด้วยกัน

Operation Rosehub จึงเป็นปฏิบัติการที่เกิดขึ้นจากเหล่าพนักงานเองโดยไม่มีคำสั่งจากฝ่ายบริหารแต่อย่างใด ปฏิบัติการนี้มีพนักงานเข้าร่วมด้วยความสมัครใจทั้งหมด 50 คน และได้ส่งแพตซ์ไปยังโปรเจคที่มีปัญหาตามมผลการค้นหาด้วย regular expression ใน dataset ของ github ด้วย BigQuery ถึง 2600 โปรเจค หนึ่งในโปรเจคเหล่านั้นคือโปรเจคโอเพ่นซอร์สยอดนิยมอย่าง Spring Framework ซึ่งการแพตซ์จะช่วยปิดช่องโหว่กับซอฟต์แวร์ที่ใช้ framework นี้จำนวนมหาศาล

ทั้งนี้ทั้งนั้น หากเป็นการแพตซ์โปรแกรมภายใน กูเกิลเองมีเครื่องมือที่สามารถแก้ไขโค้ดใน codebase จำนวนมากไปพร้อมๆกันได้ในครั้งเดียวที่ชื่อว่า Rosie ทางทีมงานหวังว่าในอนาคตชุมชน opensource และ github จะเล็งเห็นความสำคัญของการมีเครื่องมือดังกล่าว

 

ที่มา: https://opensource.googleblog.com/2017/03/operation-rosehub.html


About PRY

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …