用美国的砖头建中国的长城,安全不安全?---从开源软件Ceph看开源软件使用风险
用美国的砖头建中国的长城,安全不安全?
---- 从开源软件 Ceph 看开源软件使用风险
1 从近期几个开源安全相关的热点事件说起
1、 2021 年 11 月 log4j 核弹级漏洞爆发
2、 美国商务部工业和安全局( BIS )正式表示 “ 美商务部出台新规:未经审批禁止向中国分享安全漏洞! ” 。
3、 美国白宫与开源组织、科技巨头共同推动 1.5 亿美元开源软件保护计划。
4、 全球最大的独立开源软件公司 SUSE 、美国开源软件巨头 Redhat 、主流开源容器引擎 Docker ,纷纷宣布停止与俄罗斯的业务。
5、 2022 年 3 月:全球第一代代码托管平台 GitHub 限制俄罗斯开发人员访问开源存储库。
通过上面的事件我们可以知道下面的事情:
1、 开源存在漏洞,部分漏洞是高危的,美国控制的开源漏洞信息会在美国披露;
2、 中国被限制获得这些漏洞的信息;
3、 美国政府在增强自己的开源供应安全和信息安全;
4、 在美国政府认为必要的情况下,开源软件可以随时不让你用,包括修改授权、关闭访问代码托管平台;
由于工作的原因笔者逐步开始学习和使用 Ceph 。也知道很多国内的云存储厂商使用 Ceph 快速的搭建自己的存储产品或服务,作为懂安全的 IT 老鸟,初学 Ceph 的新鸟,打算从 Ceph 入手解剖麻雀,分析开源软件使用中究竟有哪些风险?
2 管中窥豹, Ceph 开源风险分析
最大的风险就是 Ceph 司法管辖权归属美国加州, ceph 本身存在大量的漏洞,漏洞信息向中国分享已经被出口管制;这就导致使用 Ceph 搭建存储系统大量漏洞无法及时修复,数据安全风险很大。同时 Ceph 的开源供应风险不容忽视。
## 2.1 开源漏洞管理: Ceph本身和依赖软件存在大量公开漏洞,叠加美国出口管制新规(漏洞披露被管制),使得借助 ceph搭建的存储系统(包括云存储)极易成为被攻击对象**
2.1.1 Ceph 本身存在大量漏洞,成为潜在被攻击对象
Ceph 仅在 2020 年就发布了 11 个中高危漏洞、 2021 年发布了 4 个中高危漏洞、 2022 年已发布 1 个(因为存在出口管制,后续我们在国内无法及时获取更多的漏洞信息)。我们拿 CVE-2021-3531 为例,它是所有基于 Ceph 的对象存储的基础功能。该漏洞一旦被利用,会导致拒绝服务业务中断。
近 3 年 ceph 我们可以获得的中高风险漏洞信息详见下表。
| 创建时间 | CVE编码 | 严重等级 | 描述 |
| 2022-07-21 | CVE-2022-0670 | Medium | Native-CephFS Manila Path-restriction bypass |
| 2021-05-13 | CVE-2021-3531 | Medium | Swift API denial of service |
| 2021-05-13 | CVE-2021-3524 | Medium | HTTP header injects via CORS in RGW |
| 2021-05-13 | CVE-2021-3509 | High | Dashboard XSS via token cookie |
| 2021-04-14 | CVE-2021-20288 | High | Unauthorized global_id reuse in cephx |
| 2020-12-18 | CVE-2020-27781 | 7.1 High | CephFS creds read/modified by Manila users |
| 2021-01-08 | CVE-2020-25678 | 4.9 Medium | mgr module passwords in clear text |
| 2020-12-07 | CVE-2020-25677 | 5.5 Medium | ceph-ansible iscsi-gateway.conf perm |
| 2020-11-23 | CVE-2020-25660 | 8.8 High | Cephx replay vulnerability |
| 2020-04-22 | CVE-2020-12059 | 7.5 High | malformed POST could crash RGW |
| 2020-06-26 | CVE-2020-10753 | 6.5 Medium | HTTP header injects via CORS in RGW |
| 2020-06-22 | CVE-2020-10736 | 8.0 High | authorization bypass in mon and mgr |
| 2020-04-23 | CVE-2020-1760 | 6.1 Medium | potential RGW XSS attack |
| 2020-04-13 | CVE-2020-1759 | 6.8 Medium | Cephx nonce reuse in secure mode |
| 2020-02-07 | CVE-2020-1700 | 6.5 Medium | RGW disconnects leak sockets, can DoS |
| 2020-04-21 | CVE-2020-1699 | 7.5 High | Dashboard path traversal flaw |
2.1.2 Ceph 引用大量老旧开源软件,很多漏洞未解决,极有可能被利用成为被攻击对象
初步分析 Ceph V17.2.1 发现,其版本直接或间接引入了 50 多款开源软件。 下表为 Ceph 引用的比较老的版本的软件清单,此清单中的开源软件在最近三年发布超过 10 个版本,但 Ceph 没有更新。社区对老版本几乎不会投入资源进行维护,导致存在安全漏洞和严重功能问题未被修复。
| 软件名称 | 软件版本 | 代码节点时间 | 3年内版本发布数 |
| rocksdb | v5.8 | 2017.09 | >10 |
| zstandard | 1.4.5 | 2020.05 | >10 |
| vcpkg | 2020.04 | 2020.04 | >10 |
| ocf | v20.3 | 2020.04 | >10 |
| boost | 1.72.0 | 2019.12 | 10 |
| SQLite | 3.33.0 | 2020.08 | >10 |
| OpenSSL | 1_1_1c | 2019.5 | >10 |
| dpdk | v20.11 | 2020.11 | >10 |
| liburing | liburing-0.7 | 2020.07 | 10 |
| pmdk | 1.10 | 2020.10 | >10 |
| dokany | v1.3.1.1000 | 2019.12 | >10 |
其中 OpenSSL 为安全漏洞比较多的软件,在 Ceph v17.2.1 中引用的是 1.1.1c 版本,此版本共 22 个漏洞,有 9 个漏洞 CVSS 打分超过 7 分。
| CVE编码 | CVSS值 | 创建时间 |
| CVE-2022-2068 | 9.8 | 2022-06-22 |
| CVE-2022-1292 | 9.8 | 2022-05-04 |
| CVE-2021-3711 | 9.8 | 2021-08-25 |
| CVE-2022-2097 | 7.5 | 2022-07-05 |
| CVE-2022-0778 | 7.5 | 2022-03-16 |
| CVE-2021-23840 | 7.5 | 2021-02-19 |
| CVE-2019-0190 | 7.5 | 2019-01-23 |
| CVE-2002-0657 | 7.5 | 2012-05-23 |
| CVE-2021-3712 | 7.4 | 2021-08-25 |
| CVE-2021-4160 | 5.9 | 2022-01-29 |
| CVE-2021-3449 | 5.9 | 2021-03-26 |
| CVE-2021-23841 | 5.9 | 2021-02-19 |
| CVE-2020-1971 | 5.9 | 2020-12-09 |
| CVE-2019-1551 | 5.3 | 2019-12-07 |
| CVE-2019-1549 | 5.3 | 2019-09-16 |
| CVE-2018-12437 | 4.9 | 2018-06-20 |
| CVE-2007-5536 | 4.9 | 2012-05-23 |
| CVE-2019-1547 | 4.7 | 2019-09-16 |
| CVE-2009-3767 | 4.3 | 2020-04-17 |
| CVE-2019-1563 | 3.7 | 2019-09-12 |
| CVE-2021-3601 | 3.3 | 2021-06-16 |
| CVE-2019-1552 | 3.3 | 2019-07-31 |
2.1.3 美国出口管制新规定,造成漏信息无法及时获取,造成漏洞管理极其困难
2022 年 6 月 2 日,美国商务部工业与安全局( BIS )发布了针对网络安全领域的最新的出口管制规定,其中要求美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。
Ceph 司法管辖权归属美国加州,且出口遵循美国出口管制,要求遵循上述新规。这也意味着中国的政府相关企业和个人,后续没有办法第一时间获取 Ceph 软件有关的高危漏洞信息,而造成网络攻击或者损失。
综上,要想解决上述前 2 点问题,需要国内以 Ceph 为底座的存储厂商,投入大量成本进行漏洞和依赖的开源软件管理。但由于美国出口管制新规,使得主动管理这条路也有可能被堵死,特别是涉及政府相关组织和个人。可以断定未来如果国际形势和大国关系发生百年未有之变化,中国基于 Ceph 的涉及国计民生的核心数据会暴露在这些已知漏洞之下。
2.2 Ceph供应风险逐渐凸显,国内存储厂商或被美国一剑封喉
先看几则与俄乌战争相关的旧闻:
1 )全球最大的独立开源软件公司 SUSE 、美国开源软件巨头 Redhat 、主流开源容器引擎 Docker ,纷纷宣布停止与俄罗斯的业务。
2 ) JavaScript 开源软件被植入恶意代码,根据 IP 地址删除俄罗斯用户数据。
3 ) Elastic 变更授权许可,对于在实体清单中的企业,不可能获取商业 license 。
4 ) 2022 年 3 月:全球第一代代码托管平台 GitHub 限制俄罗斯开发人员访问开源存储库。
一个完整的开源生态包含开源基金会(组织)、开源项目、开源许可证和代码托管平台等多方面要素,上述旧闻正对应这些要素。那么 Ceph 的情况如何呢?
2.2.1 Ceph 明确要求遵循美国出口管制
Ceph 隶属于 Linux 基金会, Linux 基金会自身的管理办法不受美国出口管制, Linux 旗下的项目包括 Linux Kernel 等默认遵循该管理办法,但分布式存储项目 Ceph明确指定司法管辖权归属美国加州 ,并要求使用并出口者遵循美国出口管制,属于 Linux 基金会中的特例。
2.2.2 漏洞信息获取也攥在美国手里
再来回顾一下,美商务部出台新规:未经审批禁止向中国分享安全漏洞! 根据美国商务部工业和安全局( BIS )新规,中国涉及国家安全、生化、导弹技术、美国武器禁运等领域必须要提前申请才能获取网络漏洞信息。该规定将全球国家分为 A 、 B 、 D 、 E 四类,中国被分在 D 组。各实体在与 D 类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。
2.2.3 美国正在进一步加强开源软件的保护及管控
据 2022 年 5 月 16 日消息,在华盛顿举行的开源软件安全峰会上,美白宫与开源组织、科技巨头共同推动 1.5 亿美元开源软件保护计划,以加强美国的开源安全。确立了包含如数字签名、开源安全事件响应、软件物料清单( SBOM )、数据共享、代码审计、改进供应链安全教育、内存安全、漏洞扫描等十大目标。 亚马逊、爱立信、谷歌、英特尔、微软和 VMWare 已经承诺提供 3000 万美元,亚马逊网络服务 (AWS) 已经承诺追加 1000 万美元用于支持该项计划。
综上,开源软件也成为美国进行打压的又一武器。从俄乌战争来看,政治原因已经导致开源软件不再可用。开源无国界,但开源组织有国界。如下这些关键的开源社区,总部设在美国、上市在美国、选用了美国的云服务等等,这些企业就必须遵守美国的政策法案。根有关统计, 80% 开源软件受美国控制。除芯片外,随着开源软件、漏洞信息纳入美国出口管制条例,开源软件也成为美国进行打压的又一武器,武器到底使不使用那就要看武器的掌控者了。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞2
添加新评论2 条评论
2023-04-11 11:25
2022-10-11 14:09