Curl Bug Hype Fizzles After Patching Reveal

Εδώ και μέρες, η κοινότητα της κυβερνοασφάλειας περίμενε με αγωνία τη μεγάλη αποκάλυψη σχετικά με δύο ελαττώματα ασφαλείας που, σύμφωνα με τον ιδρυτή του curl Daniel Stenberg, περιελάμβαναν ένα που ήταν πιθανότατα «το χειρότερο ελάττωμα ασφαλείας curl εδώ και πολύ καιρό».

Το Curl είναι ένα εργαλείο ανάλυσης διακομιστή μεσολάβησης ανοιχτού κώδικα που χρησιμοποιείται ως «μεσαίος άνθρωπος» για τη μεταφορά αρχείων μεταξύ διαφόρων πρωτοκόλλων, το οποίο υπάρχει κυριολεκτικά σε δισεκατομμύρια περιπτώσεις εφαρμογών. Η πρόταση για ένα τεράστιο ελάττωμα βιβλιοθήκης ανοιχτού κώδικα ξύπνησε μνήμες από την καταστροφή ελάττωμα log4j από το 2021. Όπως ανησύχησε ο Alex Ilgayev, επικεφαλής της έρευνας ασφαλείας της Cycode, «η ευπάθεια στη βιβλιοθήκη curl μπορεί να αποδειχθεί πιο προκλητική από το περιστατικό Log4j πριν από δύο χρόνια».

Ακολουθώντας όμως το σημερινό αποκάλυψη ενημερώσεων κώδικα και λεπτομέρειες σφαλμάτων, καμία ευπάθεια δεν ανταποκρίθηκε στη διαφημιστική εκστρατεία.

Επιπτώσεις περιορισμένου αριθμού αναπτύξεων Curl

Το πρώτο vuln, α ελάττωμα υπερχείλισης buffer με βάση το σωρό παρακολουθείται σύμφωνα με το CVE-2023-38545, έλαβε βαθμολογία "υψηλή" λόγω της πιθανότητας καταστροφής δεδομένων ή ακόμα και απομακρυσμένης εκτέλεσης κώδικα (RCE). Το ζήτημα έγκειται στην παράδοση μεσολάβησης SOCKS5, σύμφωνα με τη συμβουλευτική.

"Όταν ζητείται από το curl να περάσει κατά μήκος του ονόματος κεντρικού υπολογιστή στον διακομιστή μεσολάβησης SOCKS5 για να του επιτραπεί η επίλυση της διεύθυνσης αντί να γίνεται με το ίδιο το curl, το μέγιστο μήκος που μπορεί να είναι το όνομα κεντρικού υπολογιστή είναι 255 byte", ανέφερε η συμβουλευτική. "Εάν εντοπιστεί ότι το όνομα κεντρικού υπολογιστή είναι μεγαλύτερο από 255 byte, το curl μεταβαίνει σε τοπική επίλυση ονομάτων και αντ' αυτού μεταβιβάζει την επιλυμένη διεύθυνση μόνο στον διακομιστή μεσολάβησης."

Το σφάλμα θα μπορούσε να επιτρέψει την παράδοση της λανθασμένης τιμής κατά τη χειραψία SOCKS5.

"Λόγω σφάλματος, η τοπική μεταβλητή που σημαίνει "αφήστε τον κεντρικό υπολογιστή να επιλύσει το όνομα" θα μπορούσε να λάβει λάθος τιμή κατά τη διάρκεια μιας αργής χειραψίας SOCKS5 και, αντίθετα με την πρόθεση, αντιγράψτε το πολύ μεγάλο όνομα κεντρικού υπολογιστή στο buffer προορισμού αντί να αντιγράψετε μόνο το επιλύθηκε η διεύθυνση εκεί», πρόσθεσε η συμβουλευτική.

Ωστόσο, ο χαρακτηρισμός υψηλής σοβαρότητας ισχύει μόνο για ένα κλάσμα των αναπτύξεων, λέει ο ειδικός σε θέματα κυβερνοασφάλειας Jake Williams.

"Αυτό είναι μόνο υψηλής σοβαρότητας σε πολύ περιορισμένες περιπτώσεις", λέει ο Williams. «Πιστεύω ότι είναι απλώς ένα ζήτημα ότι όταν έχετε μια ευπάθεια βιβλιοθήκης, ξέρετε πώς χρησιμοποιείται η βιβλιοθήκη. Πρέπει να αναθέσετε το CVE υποθέτοντας ένα χειρότερο σενάριο για εφαρμογή.»

Το δεύτερο σφάλμα curl, που παρακολουθείται σύμφωνα με το CVE-2023-38546, είναι ένα ελάττωμα ένεσης cookie χαμηλής σοβαρότητας που επηρεάζει μόνο τη βιβλιοθήκη libcurl, όχι το ίδιο το curl.

«Πιστεύω ότι αυτό είναι μεγαλύτερο πρόβλημα για τις συσκευές ασφαλείας και τις συσκευές (που φέρουν μη αξιόπιστο περιεχόμενο και συχνά χρησιμοποιούν μπούκλα κάτω από την κουκούλα)», δήλωσε ο Andy Hornegold σε μια δήλωση αντιδρώντας στην απελευθέρωση των λεπτομερειών του bug curl. "Δεν βλέπω ότι είναι τεράστιο πρόβλημα για αυτόνομη χρήση."

Κίνδυνοι από επιδιόρθωση

Πέρα από την καούρα για τις ομάδες κυβερνοασφάλειας, η επιδιόρθωση προτού δημοσιοποιηθούν οι τεχνικές λεπτομέρειες μπορεί να προσφέρει μια εύκολη νίκη στους παράγοντες απειλών. Σε αυτήν την περίπτωση, η Williams επισημαίνει ότι η RedHat ενημέρωσε το αρχείο καταγραφής αλλαγών της πριν από την επίσημη κυκλοφορία, η οποία θα μπορούσε να είχε δώσει στους κυβερνοεπιτιθέμενους σημαντικές πληροφορίες για μη επιδιορθωμένους στόχους, εάν η ευπάθεια ήταν τόσο επικίνδυνη όσο υποτίθεται προηγουμένως.

Πράγματι, ο Mike McGuire με το Synopsys είδε τους κινδύνους της αυξημένης προσοχής στην ενημέρωση curl και έγραψε γι 'αυτό σε ένα blog στις 9 Οκτωβρίου.

"Παρά το γεγονός ότι δεν υπάρχουν πρόσθετες λεπτομέρειες σχετικά με την ευπάθεια, οι φορείς απειλών αναμφίβολα θα ξεκινήσουν απόπειρες εκμετάλλευσης", έγραψε ο McGuire. «Επιπλέον, δεν είναι πρωτόγνωρο για τους εισβολείς να δημοσιεύουν ψευδείς «διορθωμένες» εκδόσεις ενός έργου γεμάτο κακόβουλο λογισμικό για να εκμεταλλευτούν τις ομάδες που προσπαθούν να επιδιορθώσουν το ευάλωτο λογισμικό».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal