Black Hat Asia 2023

พนักงาน Google ตั้ง Operation Rosehub แพตช์ช่องโหว่ Mad Gadget ในโปรเจคโอเพ่นซอร์สบน Github

หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github  

ช่องโหว่ Deserialization ที่ว่านี้มีอยู่ใน Apache Commons Collections 7 เวอร์ชั่น (3.0, 3.1, 3.2, 3.2.1 และ 4.0) ซึ่งเป็นทื่ใช้กันอย่างแพร่หลายในซอฟต์แวร์ธุรกิจที่มีการ deserialize และส่งข้อมูลข้าม network ส่งผลให้ข้อมูลเหล่านี้ถูกจารกรรมได้โดยง่าย

แต่โปรเจคโอเพ่นซอร์สนั้นไม่เหมือนซอฟต์แวร์ธุรกิจที่มักมีการเฝ้าระวังด้านความปลอดภัยอยู่ตลอด พนักงานหญิงคนหนึ่งของกูเกิลค้นพบในเดือนมีนาคมปี 2016 ว่ายังมีโปรเจคโอเพ่นซอร์สจำนวนไม่น้อยเลยที่ยังมีช่องโหว่นี้ เธอจึงเริ่มส่ง pull request ไปยังโปรเจคต่างๆเพื่อขอแก้ไขโค้ดเพื่อแพตซ์ช่องโหว่นี้ การแก้ไขนี้สามารถทำได้อย่างง่ายและรวดเร็ว ไม่นานนักเธอจึงเริ่มชักชวนเพื่อนร่วมงานเข้ามาช่วยแพตซ์ช่องโหว่นี้ด้วยกัน

Operation Rosehub จึงเป็นปฏิบัติการที่เกิดขึ้นจากเหล่าพนักงานเองโดยไม่มีคำสั่งจากฝ่ายบริหารแต่อย่างใด ปฏิบัติการนี้มีพนักงานเข้าร่วมด้วยความสมัครใจทั้งหมด 50 คน และได้ส่งแพตซ์ไปยังโปรเจคที่มีปัญหาตามมผลการค้นหาด้วย regular expression ใน dataset ของ github ด้วย BigQuery ถึง 2600 โปรเจค หนึ่งในโปรเจคเหล่านั้นคือโปรเจคโอเพ่นซอร์สยอดนิยมอย่าง Spring Framework ซึ่งการแพตซ์จะช่วยปิดช่องโหว่กับซอฟต์แวร์ที่ใช้ framework นี้จำนวนมหาศาล

ทั้งนี้ทั้งนั้น หากเป็นการแพตซ์โปรแกรมภายใน กูเกิลเองมีเครื่องมือที่สามารถแก้ไขโค้ดใน codebase จำนวนมากไปพร้อมๆกันได้ในครั้งเดียวที่ชื่อว่า Rosie ทางทีมงานหวังว่าในอนาคตชุมชน opensource และ github จะเล็งเห็นความสำคัญของการมีเครื่องมือดังกล่าว

 

ที่มา: https://opensource.googleblog.com/2017/03/operation-rosehub.html


About PRY

Check Also

พบ ‘HinataBot’ บอทเน็ตที่อาจสร้างการโจมตี DDoS ขนาด 3.3 Tbps ได้

พบมัลแวร์บอตเน็ตใหม่ HinataBot มุ่งเป้าโจมตี Realtek SDK, Huawei Router และ Hadoop YARN Server เพื่อรวมการโจมตีที่อาจสร้าง Distributed Denial of …

[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ