Kuidas kontrollida oma keskkonda Curli haavatavate versioonide suhtes

Kuidas kontrollida oma keskkonda Curli haavatavate versioonide suhtes

Ajatempel: 12. oktoober 2023 6:00
Kuidas skannida oma keskkonda Curl PlatoBlockchain Data Intelligence'i haavatavate versioonide jaoks. Vertikaalne otsing. Ai.

Turvameeskonnad ei pea probleemi lahendamiseks kriisirežiimi lülituma hiljuti parandatud haavatavused käsurea tööriista curl ja libcurli teegis, kuid see ei tähenda, et nad ei peaks muretsema mõjutatud süsteemide tuvastamise ja parandamise pärast. Kui süsteeme ei saa kohe kasutada, on turvameeskondadel aega nende värskenduste tegemiseks.

See tehniline näpunäide koondab juhised selle kohta, mida turvameeskonnad peavad tegema, et tagada, et nad ei ole ohus.

Unixi ja Linuxi süsteemide põhiline võrgutööriist cURL-i kasutatakse andmete edastamiseks käsuridades ja skriptides. Selle levimus on tingitud asjaolust, et seda kasutatakse nii eraldiseisva utiliidi (curl) kui ka teekina, mis sisaldub paljudes eri tüüpi rakendustes (libcurl). Libcurli teeki, mis võimaldab arendajatel pääseda ligi curl API-dele oma koodi kaudu, saab sisestada otse koodi, kasutada sõltuvusena, kasutada operatsioonisüsteemi komplekti osana, kaasata Dockeri konteineri osana või installida Kubernetese klastri sõlm.

Mis on CVE-2023-38545?

Kõrge raskusastmega haavatavus mõjutab curl ja libcurl versioonid 7.69.0 kuni 8.3.0 ja madala raskusastmega haavatavus mõjutab libcurli versioone 7.9.1 kuni 8.3.0. Vaikimisi ei saa aga turvaauke ära kasutada. Haavatavust käivitada üritav ründaja peab suunama curl'i ründaja kontrolli all olevale pahatahtlikule serverile, veenduma, et curl kasutab puhverserveri režiimi kasutades SOCKS5 puhverserverit, konfigureerima curli ümbersuunamisi automaatselt järgima ja määrama puhvri suuruse väiksemaks. suurus.

Järgi Yair Mizrahi, JFrogi vanemturbeteadur, on libcurli teek haavatav ainult kui on määratud järgmised keskkonnamuutujad: CURLOPT_PROXYTYPE  seadke tüüp CURLPROXY_SOCKS5_HOSTNAMEVõi CURLOPT_PROXY or CURLOPT_PRE_PROXY  seatud skeemile sokid5h://. Teek on haavatav ka siis, kui üks puhverserveri keskkonnamuutujatest on seatud kasutama sokid5h:// skeem. Käsurea tööriist on haavatav ainult siis, kui seda käivitatakse koos -socks5-hostinimi lipp või koos -puhverserver (-x) või - preproxy seadke skeemi kasutama sokid5h://. Samuti on see haavatav, kui curl käivitatakse koos mõjutatud keskkonnamuutujatega.

„Eeltingimuste kogum, mis on vajalik masina haavatavaks muutmiseks (vt eelmist jaotist), on piiravam, kui esialgu arvati. Seetõttu usume, et see haavatavus ei mõjuta enamikku curl-kasutajatest,” kirjutas Mizrahi analüüsis.

Kontrollige keskkonda haavatavate süsteemide jaoks

Esimene asi, mida organisatsioonid peavad tegema, on oma keskkondade ulatus, et tuvastada kõik süsteemid curl ja libcurl abil, et hinnata, kas need eeldused on olemas. Organisatsioonid peaksid inventeerima oma süsteeme ja hindama oma tarkvara tarnimisprotsesse, kasutades tarkvara koostise analüüsi tööriistu koodide, skannimiskonteinerite ja rakenduste turvalisuse haldamise utiliitide jaoks, märgib Cycode'i turbeuuringute juht Alex Ilgajev. Kuigi haavatavus ei mõjuta kõiki curl-i rakendusi, oleks mõjutatud süsteeme lihtsam tuvastada, kui meeskond alustab võimalike otsitavate asukohtade loendiga.

Järgmised käsud määravad kindlaks, millised curl'i versioonid on installitud:

Linux/MacOS:

find / -name curl 2>/dev/null -exec echo "Leitud: {}" ; -exec {} --versioon ;

Windows:

Get-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "Leitud: $($_.FullName)"; & $_.FullName --version }

GitHubil on päring käivitamiseks Defender for Endpointis et tuvastada kõik keskkonnas olevad seadmed, millel on curl installitud või mis kasutavad curl'i. Qualys on oma reeglid avaldanud selle platvormi kasutamise eest.

Dockeri konteinereid või muid konteineritehnoloogiaid kasutavad organisatsioonid peaksid samuti skannima pilte haavatavate versioonide leidmiseks. Eeldatakse suurt arvu ümberehitusi, eriti dokkipiltide ja sarnaste üksuste puhul, mis sisaldavad liburl koopiaid. Docker on kokku tõmbunud juhiste loend kõigi piltide hindamisel.

Olemasolevate hoidlate leidmiseks toimige järgmiselt.

docker Scout repo lubamine --org /skaut-demo

Kohaliku konteineri kujutiste analüüsimiseks tehke järgmist.

dokkide skaudipoliitika [IMAGE] --org [ORG]

Endor Labsi turvateadlase Henrik Plate sõnul rõhutab see väljaanne, kui oluline on hoolikalt jälgida kogu organisatsioonis kasutatava avatud lähtekoodiga tarkvara.

"Kõikide curl'i ja libcurli kasutusvõimaluste tundmine on tegeliku riski hindamise ja parandusmeetmete võtmise eeltingimuseks, olgu selleks siis curl'i parandamine, ebausaldusväärsete võrkude juurdepääsu piiramine mõjutatud süsteemidele või muude vastumeetmete rakendamine," ütles Plate.

Kui rakendusega on kaasas tarkvara materjalide arv, oleks see hea koht lokkide esinemise otsimiseks, lisab Viakoo Labsi asepresident John Gallagher.

See, et vigu ei saa kasutada, ei tähenda, et värskendused pole vajalikud. Plaastrid on saadaval otse curl ja libcurl jaoks, ja paljud operatsioonisüsteemid (Debian, Ubuntu, Red Hat jne) on avaldanud ka fikseeritud versioone. Hoidke silm peal teiste rakenduste turvavärskendustel, kuna libcurl on teek, mida kasutavad paljud operatsioonisüsteemid ja rakendused.

Üks lahendus kuni värskenduste juurutamiseni on JFrogi Mizrahi andmetel sundida curli kasutama SOCKS5 puhverserveriga ühenduse loomisel kohalikku hostinime lahendamist. See süntaks kasutab skeemi socks5, mitte socks5h: curl -x sokid5://someproxy.com. Asendage raamatukogus keskkonnamuutuja CURLPROXY_SOCKS5_HOSTNAME koos CURLPROXY_SOCKS5.

Turvainseneri Benjamin Marri sõnul Intruder, peaksid turvameeskonnad jälgima lokkide lippe liiga suurte stringide suhtes, kuna see viitaks süsteemi ohustamisele. Lipud on –socks5-hostinimivõi -puhverserver or - preproxy seadke skeemi kasutama sokid5h://.

Ajatempel:

Veel alates Tume lugemine