Πώς να σαρώσετε το περιβάλλον σας για ευάλωτες εκδόσεις του Curl

Οι ομάδες ασφαλείας δεν χρειάζεται να περάσουν σε κατάσταση κρίσης για να αντιμετωπίσουν το πρόβλημα πρόσφατα διορθώθηκαν ευπάθειες στο εργαλείο γραμμής εντολών curl και στη βιβλιοθήκη libcurl, αλλά αυτό δεν σημαίνει ότι δεν χρειάζεται να ανησυχούν για τον εντοπισμό και την αποκατάσταση των επηρεαζόμενων συστημάτων. Εάν τα συστήματα δεν είναι άμεσα εκμεταλλεύσιμα, οι ομάδες ασφαλείας έχουν λίγο χρόνο για να κάνουν αυτές τις ενημερώσεις.

Αυτή η συμβουλή τεχνικής συγκεντρώνει οδηγίες σχετικά με το τι πρέπει να κάνουν οι ομάδες ασφαλείας για να διασφαλίσουν ότι δεν διατρέχουν κίνδυνο.

Ένα βασικό εργαλείο δικτύωσης για συστήματα Unix και Linux, το cURL χρησιμοποιείται σε γραμμές εντολών και σενάρια για τη μεταφορά δεδομένων. Η επικράτηση του οφείλεται στο γεγονός ότι χρησιμοποιείται τόσο ως αυτόνομο βοηθητικό πρόγραμμα (curl) όσο και ως βιβλιοθήκη που περιλαμβάνεται σε πολλούς διαφορετικούς τύπους εφαρμογών (libcurl). Η βιβλιοθήκη libcurl, η οποία επιτρέπει στους προγραμματιστές να έχουν πρόσβαση στα curl API από τον δικό τους κώδικα, μπορεί να εισαχθεί απευθείας στον κώδικα, να χρησιμοποιηθεί ως εξάρτηση, να χρησιμοποιηθεί ως μέρος μιας δέσμης λειτουργικού συστήματος, να συμπεριληφθεί ως μέρος ενός κοντέινερ Docker ή να εγκατασταθεί σε Κόμβος συμπλέγματος Kubernetes.

Τι είναι το CVE-2023-38545;

Η ευπάθεια υψηλής σοβαρότητας επηρεάζει το curl και το libcurl εκδόσεις 7.69.0 έως 8.3.0 και η ευπάθεια χαμηλής σοβαρότητας επηρεάζει τις εκδόσεις 7.9.1 έως 8.3.0 του libcurl. Ωστόσο, τα τρωτά σημεία δεν μπορούν να αξιοποιηθούν υπό προεπιλεγμένες συνθήκες. Ένας εισβολέας που προσπαθεί να ενεργοποιήσει την ευπάθεια θα πρέπει να κατευθύνει το curl σε έναν κακόβουλο διακομιστή υπό τον έλεγχο του εισβολέα, βεβαιωθείτε ότι το curl χρησιμοποιεί διακομιστή μεσολάβησης SOCKS5 χρησιμοποιώντας λειτουργία επίλυσης διακομιστή μεσολάβησης, να διαμορφώσει το curl ώστε να ακολουθεί αυτόματα ανακατευθύνσεις και να ορίσει το μέγεθος του buffer σε μικρότερο Μέγεθος.

Σύμφωνα με Yair Mizrahi, ανώτερος ερευνητής ασφάλειας στο JFrog, η βιβλιοθήκη libcurl είναι ευάλωτη αποκλειστικά εάν έχουν οριστεί οι ακόλουθες μεταβλητές περιβάλλοντος: CURLOPT_PROXYTYPE  ρυθμίστε να πληκτρολογείτε CURLPROXY_SOCKS5_HOSTNAME? Ή CURLOPT_PROXY or CURLOPT_PRE_PROXY  οριστεί σε σχήμα κάλτσες5h://. Η βιβλιοθήκη είναι επίσης ευάλωτη εάν μία από τις μεταβλητές περιβάλλοντος διακομιστή μεσολάβησης έχει ρυθμιστεί να χρησιμοποιεί το κάλτσες5h:// σχέδιο. Το εργαλείο γραμμής εντολών είναι ευάλωτο μόνο εάν εκτελείται με το -κάλτσες5-όνομα κεντρικού υπολογιστή σημαία, ή με -πληρεξούσιο (-x) ή – προκαταρκτικός ρυθμίστε να χρησιμοποιήσετε το σχήμα κάλτσες5h://. Είναι επίσης ευάλωτο εάν το curl εκτελείται με τις επηρεαζόμενες μεταβλητές περιβάλλοντος.

«Το σύνολο των προϋποθέσεων που απαιτούνται για να είναι ένα μηχάνημα ευάλωτο (βλ. προηγούμενη ενότητα) είναι πιο περιοριστικό από ό,τι αρχικά πιστεύαμε. Επομένως, πιστεύουμε ότι η συντριπτική πλειονότητα των χρηστών του curl δεν θα επηρεαστεί από αυτή την ευπάθεια», έγραψε ο Mizrahi στην ανάλυση.

Σάρωση του περιβάλλοντος για ευάλωτα συστήματα

Το πρώτο πράγμα που πρέπει να κάνουν οι οργανισμοί είναι να επεκτείνουν το περιβάλλον τους για να αναγνωρίσουν όλα τα συστήματα που χρησιμοποιούν curl και libcurl για να αξιολογήσουν εάν υπάρχουν αυτές οι προϋποθέσεις. Οι οργανισμοί θα πρέπει να καταγράφουν τα συστήματά τους και να αξιολογούν τις διαδικασίες παράδοσης λογισμικού χρησιμοποιώντας εργαλεία ανάλυσης σύνθεσης λογισμικού για κώδικα, σάρωση κοντέινερ και βοηθητικά προγράμματα διαχείρισης στάσης ασφαλείας εφαρμογών, σημειώνει ο Alex Ilgayev, επικεφαλής της έρευνας ασφάλειας στην Cycode. Παρόλο που η ευπάθεια δεν επηρεάζει κάθε υλοποίηση του curl, θα ήταν ευκολότερο να εντοπιστούν τα επηρεαζόμενα συστήματα, εάν η ομάδα ξεκινήσει με μια λίστα πιθανών τοποθεσιών για αναζήτηση.

Οι ακόλουθες εντολές προσδιορίζουν ποιες εκδόσεις του curl είναι εγκατεστημένες:

Linux/MacOS:

find / -name curl 2>/dev/null -exec echo "Βρέθηκε: {}" ; -exec {} --έκδοση ;

Windows:

Get-ChildItem -Διαδρομή C: -Recurse -ErrorAction SilentlyContinue -Φίλτρο curl.exe | ForEach-Object { Write-Host "Found: $($_.FullName)"; & $_.FullName --έκδοση }

Το GitHub έχει ένα ερώτημα για εκτέλεση στο Defender για Endpoint για να αναγνωρίσετε όλες τις συσκευές στο περιβάλλον που έχουν εγκαταστήσει το curl ή χρησιμοποιούν το curl. Η Qualys δημοσίευσε τους κανόνες της για τη χρήση της πλατφόρμας του.

Οι οργανισμοί που χρησιμοποιούν κοντέινερ Docker ή άλλες τεχνολογίες κοντέινερ θα πρέπει επίσης να σαρώνουν τις εικόνες για ευάλωτες εκδόσεις. Αναμένεται ένας αρκετά μεγάλος αριθμός ανακατασκευών, ιδιαίτερα σε εικόνες docker και παρόμοιες οντότητες που ενσωματώνουν αντίγραφα liburl. Ο Ντόκερ συνήλθε μια λίστα οδηγιών για την αξιολόγηση όλων των εικόνων.

Για να βρείτε υπάρχοντα αποθετήρια:

docker scout repo enable --org /scout-demo

Για να αναλύσετε τοπικές εικόνες κοντέινερ:

πολιτική ανίχνευσης αποβάθρων [IMAGE] --org [ORG]

Αυτό το τεύχος υπογραμμίζει τη σημασία της σχολαστικής παρακολούθησης όλων των λογισμικών ανοιχτού κώδικα που χρησιμοποιούνται σε έναν οργανισμό, σύμφωνα με τον Henrik Plate, ερευνητή ασφάλειας στην Endor Labs.

"Η γνώση όλων των χρήσεων του curl και του libcurl είναι η προϋπόθεση για την αξιολόγηση του πραγματικού κινδύνου και τη λήψη μέτρων αποκατάστασης, είτε πρόκειται για επιδιόρθωση του curl, περιορισμό της πρόσβασης σε επηρεαζόμενα συστήματα από μη αξιόπιστα δίκτυα ή εφαρμογή άλλων αντίμετρων", δήλωσε ο Plate.

Εάν η εφαρμογή συνοδεύεται από λογαριασμό υλικού λογισμικού, αυτό θα ήταν ένα καλό μέρος για να ξεκινήσετε την αναζήτηση περιπτώσεων μπούκλας, προσθέτει ο John Gallagher, αντιπρόεδρος της Viakoo Labs.

Ακριβώς επειδή τα ελαττώματα δεν είναι εκμεταλλεύσιμα δεν σημαίνει ότι οι ενημερώσεις δεν είναι απαραίτητες. Διατίθενται patches απευθείας για curl και libcurl, και πολλά από τα λειτουργικά συστήματα (Debian, Ubuntu, Red Hat, κ.λπ.) έχουν επίσης προωθήσει σταθερές εκδόσεις. Έχετε το νου σας για ενημερώσεις ασφαλείας από άλλες εφαρμογές, καθώς το libcurl είναι μια βιβλιοθήκη που χρησιμοποιείται από πολλά λειτουργικά συστήματα και εφαρμογές.

Μια λύση μέχρι να αναπτυχθούν οι ενημερώσεις είναι να αναγκάσετε το curl να χρησιμοποιήσει την τοπική επίλυση ονόματος κεντρικού υπολογιστή κατά τη σύνδεση σε έναν διακομιστή μεσολάβησης SOCKS5, σύμφωνα με τον Mizrahi του JFrog. Αυτή η σύνταξη χρησιμοποιεί το σχήμα socks5 και όχι socks5h: curl -x socks5://someproxy.com. Στη βιβλιοθήκη, αντικαταστήστε τη μεταβλητή περιβάλλοντος CURLPROXY_SOCKS5_HOSTNAME με CURLPROXY_SOCKS5.

Σύμφωνα με τον Benjamin Marr, μηχανικό ασφαλείας στο Παρείσακτος, οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τα curl flags για υπερβολικά μεγάλες χορδές, καθώς αυτό θα έδειχνε ότι το σύστημα είχε παραβιαστεί. Οι σημαίες είναι –κάλτσες5-όνομα κεντρικού υπολογιστή, ή -πληρεξούσιο or – προκαταρκτικός ρυθμίστε να χρησιμοποιήσετε το σχήμα κάλτσες5h://.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl