Packagist PHP 存储库中的漏洞及其供应链攻击风险

主要重点

• Packagist 存储库中已修补的漏洞可能被攻击者利用进行供应链攻击。
• 漏洞被标记为 CVE-2022-24828，涉及命令注入。
• 攻击者可以劫持包更新请求，并在后端伺服器上执行任意命令。
• Packagist 已为此漏洞发布了修补程式，但尚未在任何攻击中被利用。

根据 的报导，攻击者可能利用 Packagist PHP 软体封装库中已修补的漏洞来促进供应链攻击。根据 SonarSource的报告，利用这一命令注入漏洞（CVE-2022-24828）可使攻击者劫持包更新请求，并在后端伺服器上执行任意命令，以便传递恶意依赖。SonarSource研究员 Thomas Chauchefoin 指出：「如果后端服务被攻击者危害，他们可以迫使用户在进行全新安装或更新 Composer包时下载后门软体依赖。」

Chauchefoin强调：「虽然供应链可以有不同的形式，但其中一种影响特别显著：透过获得对分发这些第三方软体元件的伺服器的访问，攻击者可以改变这些元件，从而在用户的系统中获取立足点。」这一警告提醒开发者和用户密切关注安全漏洞的更新，确保他们所使用的软体套件是安全的。不断更新和修补漏洞是防范这类攻击的重要步骤。