PureSec揭示了OpenWhisk無服務器運行時中的漏洞

PureSec在7月24日披露，它報告了Apache OpenWhisk無服務器運行時中的兩個漏洞，這些漏洞可能使用戶處于危險之中。Apache OpenWhisk是一個開源項目，它也是IBM Cloud Functions服務的基礎。CVE-2018-11756和CVE-2018-11757這兩個漏洞可能使遠程攻擊者能夠覆蓋易受攻擊的功能的源代碼。OpenWhisk已修復了這些問題，而IBM輕視了總體風險。

“向Apache開放社區(qū)報告了這個風險非常低的漏洞之后，IBM在一周內更新了我們的代碼，以防止此小漏洞影響OpenWhisk的用戶，” IBM Cloud Functions的IBM杰出工程師Michael Behrendt告訴eWEEK。“這種快速反應反映了開放社區(qū)中構建和運營技術的許多好處，因為可以發(fā)現(xiàn)改進并迅速糾正漏洞。

OpenWhisk是一種無服務器技術，有時也稱為功能即服務或事件驅動的編程。在無服務器模型中，程序代碼或“功能”在僅用于服務給定功能的臨時容器上執(zhí)行。其他流行的無服務器平臺包括AWS Lambda和Google Cloud Functions。PureSec的創(chuàng)始人兼首席技術官Ory Segal說，他的公司正在對所有流行的無服務器平臺進行比較分析。

Segal告訴eWEEK： “我們要檢查的問題之一是功能的隔離能力以及功能代碼的不可或缺乏完整性。”

特別要注意的是，西格爾(Segal)警告說，在對OpenWhisk進行補丁之前，未經身份驗證的最終用戶可能會利用其公司發(fā)現(xiàn)的漏洞。也就是說，沒有跡象表明OpenWhisk曾經被使用這些漏洞的攻擊者所利用。

Segal說：“無服務器安全性研究和開發(fā)技術是相當前沿的，PureSec無疑是該領域的先驅。” “我們在互聯(lián)網和黑暗的網絡上還沒有看到任何與遠程相關的東西，我們一直在對其進行監(jiān)控。”

PureSec于7月19日宣布了其無服務器安全平臺的全面上市。該平臺包括靜態(tài)分析算法，可在開發(fā)階段分析功能;無服務器應用防火墻，可在調用后控制功能范圍。還有其他提供無服務器安全掃描的供應商，包括Twistlock，該公司于6月19日宣布其無服務器功能。

Segal說，PureSec的團隊認為無服務器是云計算的未來，它將為開發(fā)人員和運營商帶來好處。

他說：“在安全性方面，與傳統(tǒng)架構相比，無服務器具有巨大優(yōu)勢。” “功能是短暫的，并且不會長時間存在，這一事實也降低了使用其基礎結構進行長期運行的惡意活動的能力。”

也就是說，Segal強調了無服務器不是應用程序安全的靈丹妙藥。開發(fā)人員仍然負責構建健壯且安全的無服務器應用程序。

他說：“像其他任何應用程序一樣，易受攻擊的無服務器應用程序仍然可以被濫用和利用。” “主要區(qū)別是您不能使用任何傳統(tǒng)的應用程序安全解決方案，例如WAF或RASP，這就是我們創(chuàng)建PureSec的原因。