كيفية فحص بيئتك بحثًا عن الإصدارات الضعيفة من Curl

لا يتعين على فرق الأمن التحول إلى وضع الأزمات لمعالجة المشكلة تم إصلاح الثغرات الأمنية مؤخرًا في أداة سطر الأوامر Curl ومكتبة libcurl، ولكن هذا لا يعني أنه لا داعي للقلق بشأن تحديد الأنظمة المتأثرة ومعالجتها. إذا لم تكن الأنظمة قابلة للاستغلال على الفور، فسيكون لدى فرق الأمان بعض الوقت لإجراء هذه التحديثات.

تجمع هذه النصيحة التقنية إرشادات حول ما يتعين على فرق الأمان القيام به لضمان عدم تعرضهم للخطر.

أداة الشبكات الأساسية لأنظمة Unix وLinux، يتم استخدام cURL في أسطر الأوامر والبرامج النصية لنقل البيانات. يرجع انتشاره إلى حقيقة أنه يتم استخدامه كأداة مساعدة مستقلة (curl) بالإضافة إلى مكتبة مضمنة في العديد من أنواع التطبيقات المختلفة (libcurl). يمكن إدخال مكتبة libcurl، التي تسمح للمطورين بالوصول إلى واجهات برمجة تطبيقات curl من التعليمات البرمجية الخاصة بهم، مباشرة في التعليمات البرمجية، أو استخدامها كتبعية، أو استخدامها كجزء من حزمة نظام التشغيل، أو تضمينها كجزء من حاوية Docker، أو تثبيتها على العقدة العنقودية Kubernetes.

ما هو CVE-2023-38545؟

الضعف الشديد الخطورة يؤثر على الضفيرة و libcurl الإصدارات 7.69.0 إلى 8.3.0، وتؤثر الثغرة الأمنية منخفضة الخطورة على إصدارات libcurl 7.9.1 إلى 8.3.0. ومع ذلك، لا يمكن استغلال الثغرات الأمنية في ظل الظروف الافتراضية. سيحتاج المهاجم الذي يحاول تشغيل الثغرة الأمنية إلى توجيه Curl إلى خادم ضار تحت سيطرة المهاجم، والتأكد من أن Curl يستخدم وكيل SOCKS5 باستخدام وضع محلل الوكيل، وتكوين Curl لمتابعة عمليات إعادة التوجيه تلقائيًا، وتعيين حجم المخزن المؤقت إلى حجم أصغر. مقاس.

وفقًا يائير مزراحي، أحد كبار الباحثين الأمنيين في JFrog، مكتبة libcurl معرضة للخطر فقط إذا تم تعيين متغيرات البيئة التالية: CURLOPT_PROXYTYPE  تم ضبطه على الكتابة CURLPROXY_SOCKS5_HOSTNAME. أو CURLOPT_PROXY or CURLOPT_PRE_PROXY  تعيين على المخطط جوارب 5 ساعات: //. تكون المكتبة أيضًا معرضة للخطر إذا تم تعيين أحد متغيرات بيئة الوكيل لاستخدام الملف جوارب 5 ساعات: // مخطط. تكون أداة سطر الأوامر عرضة للخطر فقط إذا تم تنفيذها باستخدام الملف -socks5-اسم المضيف علم أو مع -الوكيل (-س) أو -الوكيل المسبق تعيين لاستخدام المخطط جوارب 5 ساعات: //. كما أنه معرض للخطر إذا تم تنفيذ عملية التجعيد باستخدام متغيرات البيئة المتأثرة.

"إن مجموعة الشروط المسبقة اللازمة لكي تكون الآلة عرضة للخطر (انظر القسم السابق) هي أكثر تقييدًا مما كان يعتقد في البداية. وكتب مزراحي في التحليل: "لذلك، نعتقد أن الغالبية العظمى من مستخدمي الضفيرة لن يتأثروا بهذه الثغرة الأمنية".

مسح البيئة بحثًا عن الأنظمة المعرضة للخطر

أول شيء يتعين على المؤسسات القيام به هو توسيع نطاق بيئاتها لتحديد جميع الأنظمة التي تستخدم curl و libcurl لتقييم ما إذا كانت هذه الشروط المسبقة موجودة أم لا. يجب على المؤسسات جرد أنظمتها وتقييم عمليات تسليم البرامج الخاصة بها باستخدام أدوات تحليل تكوين البرامج للتعليمات البرمجية، ومسح الحاويات، وأدوات إدارة الوضع الأمني ​​للتطبيقات، حسبما يشير أليكس إيلجاييف، رئيس قسم الأبحاث الأمنية في Cycode. على الرغم من أن الثغرة الأمنية لا تؤثر على كل عملية تنفيذ للالتفاف، سيكون من الأسهل تحديد الأنظمة المتأثرة إذا بدأ الفريق بقائمة من المواقع المحتملة للبحث.

تحدد الأوامر التالية إصدارات حليقة المثبتة:

لينكس/ماك:

العثور على / -اسم الضفيرة 2>/dev/null -exec echo "Found: {}" ; -exec {} --version ;

نوافذ:

Get-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { مضيف الكتابة "تم العثور عليه: $($_.FullName)"; & $_.FullName --version }

جيثب لديه استعلام ليتم تشغيله في Defender for Endpoint لتحديد كافة الأجهزة في البيئة التي تم تثبيت حليقة عليها أو استخدام حليقة. نشرت Qualys قواعدها لاستخدام منصتها.

يجب على المؤسسات التي تستخدم حاويات Docker أو تقنيات الحاويات الأخرى أيضًا فحص الصور بحثًا عن الإصدارات الضعيفة. من المتوقع إجراء عدد كبير من عمليات إعادة البناء، خاصة في صور عامل الإرساء والكيانات المماثلة التي تتضمن نسخ liburl. لقد اجتمع عامل الميناء معًا قائمة التعليمات على تقييم جميع الصور.

للعثور على المستودعات الموجودة:

تمكين docker scout repo --org /scout-demo

لتحليل صور الحاوية المحلية:

سياسة الكشف عن عامل الإرساء [IMAGE] --org [ORG]

تسلط هذه المشكلة الضوء على أهمية المتابعة الدقيقة لجميع البرامج مفتوحة المصدر المستخدمة في المؤسسة، وفقًا لهنريك بليت، الباحث الأمني ​​في Endor Labs.

وقال بليت: "إن المعرفة بجميع استخدامات curl و libcurl هي شرط أساسي لتقييم المخاطر الفعلية واتخاذ إجراءات العلاج، سواء كان ذلك تصحيحاً، أو تقييد الوصول إلى الأنظمة المتأثرة من شبكات غير موثوقة، أو تنفيذ تدابير مضادة أخرى".

إذا كان التطبيق يأتي مع قائمة مواد برمجية، فسيكون ذلك مكانًا جيدًا لبدء البحث عن حالات التجعيد، كما يضيف جون غالاغر، نائب رئيس Viakoo Labs.

فقط لأن العيوب غير قابلة للاستغلال، لا يعني أن التحديثات ليست ضرورية. التصحيحات متوفرة مباشرة من أجل حليقة وlibcurlوالعديد من أنظمة التشغيل (Debian وUbuntu وRed Hat وما إلى ذلك) قامت أيضًا بإصدار إصدارات ثابتة. ترقب التحديثات الأمنية من التطبيقات الأخرى، حيث أن libcurl هي مكتبة تستخدمها العديد من أنظمة التشغيل والتطبيقات.

أحد الحلول البديلة حتى يمكن نشر التحديثات هو فرض التجعيد لاستخدام حل اسم المضيف المحلي عند الاتصال بوكيل SOCKS5، وفقًا لمزراحي من JFrog. يستخدم بناء الجملة هذا مخطط SOCKS5 وليس SOCKS5H: حليقة -x الجوارب5://someproxy.com. في المكتبة، استبدل متغير البيئة CURLPROXY_SOCKS5_HOSTNAME مع CURLPROXY_SOCKS5.

وفقا لبنجامين مار، مهندس الأمن في المتطفل، يجب أن تقوم فرق الأمان بمراقبة علامات الالتفاف بحثًا عن سلاسل كبيرة جدًا، حيث يشير ذلك إلى تعرض النظام للاختراق. الأعلام هي –socks5-اسم المضيفالطرق أو -الوكيل or -الوكيل المسبق تعيين لاستخدام المخطط جوارب 5 ساعات: //.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl