网络第5域

仍有38万个网站链接到Polyfill恶意站点,涉及多家财富500强企业

字号+作者: 来源:安全内参 2024-07-05 00:00 评论(创建话题) 收藏成功收藏本文

据安全公司Censys的最新报告,截至本周二,仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳'...

据安全公司Censys的最新报告,截至本周二,仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关。

84z品论天涯网

Polyfill供应链攻击事件曝光已经过去一周,但仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站,其中不乏财富500强和政府网站。84z品论天涯网

84z品论天涯网

2024年6月25日,Sansec安全研究团队披露了一起严重的网络安全事件:知名的Polyfill开源库的CDN分发站点polyfill.io(以及GitHub账户)自今年2月卖给了一家中国企业之后,开始嵌入恶意程序,以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计,超过10万个网站受到了这次攻击的影响,包括很多知名上市公司。84z品论天涯网

Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能,当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时,网站即可导入该函数库来实现相同的功能。84z品论天涯网

Sansec的报告发布两天后,业界纷纷采取措施缓解Polyfill.io的风险:域名注册商 Namecheap暂停了域名(Polyfill.io),此举有效地阻止了恶意代码在访客设备上运行。随后,Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。84z品论天涯网

Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io,或是改用由Fastly或Cloudflare所提供的Polyfill方案。84z品论天涯网

虽然业界集体行动暂时缓解了polyfill供应链攻击威胁,但是,据安全公司Censys的最新报告,截至本周二,仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关,包括:84z品论天涯网

  • 华纳兄弟(www.warnerbros.com)84z品论天涯网

  • Hulu(www.hulu.com)84z品论天涯网

  • 梅赛德斯-奔驰(shop.mercedes-benz.com)84z品论天涯网

  • 培生(digital-library-qa.pearson.com、digital-library-stg.pearson.com)84z品论天涯网

  • ns-static-assets.s3.amazonaws.com84z品论天涯网

amazonaws.com是仍链接到polyfill站点的网站中最常用的域名,这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。84z品论天涯网

Censys还发现182个以.gov结尾的域名,可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。84z品论天涯网

上述调查结果再次证明了软件供应链攻击的巨大杀伤半径,同时也意味着危险并未真正解除,因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点,这个定时炸弹随时有可能再次被引爆。84z品论天涯网

值得警惕的是,Censys扫描互联网还发现,有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名(bootcdn[.]net、staticfile[.]net和staticfile[.]org)还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。84z品论天涯网

参考链接:84z品论天涯网

https://sansec.io/research/polyfill-supply-chain-attack84z品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]