ASUS on tuntud populaarsete elektroonikatoodete tootja, alates sülearvutitest ja telefonidest kuni koduruuterite ja graafikakaartideni.
Sel nädalal avaldas ettevõte püsivara värskendused paljude koduruuterite jaoks koos a tugev hoiatus et kui te ei soovi või ei saa praegu oma püsivara värskendada, peate tegema järgmist.
[Keela] WAN-i poolelt juurdepääsetavad teenused, et vältida võimalikke soovimatuid sissetungi. Need teenused hõlmavad kaugjuurdepääsu WAN-ist, pordi suunamist, DDNS-i, VPN-serverit, DMZ-d, pordi käivitamist.
Oletame, et ASUS eeldab, et potentsiaalsed ründajad hakkavad nüüd, kui on avaldatud pikk veaparanduste loend, tegelema avatud seadmete uurimisega.
(Muidugi võisid hästi informeeritud ründajad mõnest, paljudest või kõigist neist aukudest juba teada, kuid me ei ole teadlikud nullpäeva rünnakutest looduses.)
Nagu me oleme alasti turvalisuse kohta varem välja toonud, on ärakasutamist sageli palju lihtsam välja selgitada, kui teil on teeviitad, mis näitavad, kust otsida…
…samamoodi, et nõela leidmine heinakuhjast on palju kiirem ja lihtsam, kui keegi ütleb teile enne alustamist, millises pallis see on.
Tehke nii, nagu me ütleme, mitte nii, nagu me teeme.
ASUSe klientide jaoks võib-olla tüütu on see, et kaks nüüdseks parandatud turvaauku on lappimist oodanud juba pikka aega.
Mõlemal neist on USA NVD-s 9.8/10 "ohuskoor" ja KRIITILINE reiting või Riiklik haavatavuse andmebaas (meie poolt parafraseeritud aruanded):
- CVE-2022-26376. Mälu rikutud funktsioonis httpd unescape. Spetsiaalselt koostatud HTTP-päring võib põhjustada mälu rikkumist. Ründaja võib selle haavatavuse käivitamiseks saata võrgupäringu. (Alushinne: 9.8 KRIITILINE.)
- CVE-2018-1160. Netatalk enne 3.1.12 [välja antud 2018-12-20] on tundlik piiridest väljas oleva kirjutamise suhtes. Selle põhjuseks on ründaja kontrollitud andmete kontrollimise piiride puudumine. Autentimata kaugründaja võib seda haavatavust ära kasutada, et saavutada suvaline koodikäivitus. (Alushinne: 9.8 KRIITILINE.)
Selgitama.
nettalk on tarkvarakomponent, mis toetab Apple'i tüüpi võrgundust, kuid see ei tähenda, et ründaja peaks vea käivitamiseks kasutama Macintoshi arvutit või Apple'i tarkvara.
Arvestades, et edukaks ärakasutamiseks on vaja tahtlikult valesti vormindatud võrguandmeid, ei teeks legitiimne Netatalk klienttarkvara tõenäoliselt niikuinii seda tööd, nii et ründaja kasutaks kohandatud koodi ja võib teoreetiliselt rünnata mis tahes operatsioonisüsteemist mis tahes arvutisse. võrguühendusega.
HTTP põgenemine ja põgenemine on vajalik alati, kui URL sisaldab andmemärki, mida ei saa URL-i tekstis otse esitada.
Näiteks ei tohi URL-id sisaldada tühikuid (tagamaks, et need moodustavad alati ühe külgneva prinditava teksti tüki), nii et kui soovite viidata kasutajanimele või tühikut sisaldavale failile, peate pääse tühikumärk, teisendades selle protsendimärgiks, millele järgneb ASCII-kood kuueteistkümnendsüsteemis (0x20 või 32 kümnendsüsteemis).
Samamoodi, kuna see annab protsendimärgile endale erilise tähenduse, tuleb ka see kirjutada protsendimärgina (%
), millele järgneb selle ASCII-kood (0x25 kuueteistkümnendsüsteemis või 37 kümnendkohana), nagu ka muud URL-ides kasutatavad märgid, nagu koolon (:
), kaldkriips (/
), küsimärk (?
) ja ampersand (&
).
Kui veebiserver (programm, mida nimetatakse httpd
ülaltoodud CVE teabes), on kõik paomärgid pääsemata teisendades need protsendiga kodeeritud vormidelt tagasi algtekstimärkideks.
Miks ASUSel nende konkreetsete vigade parandamine nii kaua aega võttis, ei mainita ettevõtte ametlikus nõuannetes, kuid HTTP „paokoodide” käsitlemine on iga veebi-URL-e kuulava ja kasutava tarkvara oluline osa.
Muud CVE-loendis olevad vead on parandatud
- CVE-2022-35401. Autentimisest möödasõit. Spetsiaalselt koostatud HTTP-päring võib kaasa tuua täieliku administraatorijuurdepääsu seadmele. Ründaja peab selle haavatavuse ärakasutamiseks saatma rea HTTP-päringuid. (Alushinne: 8.1 KÕRGE.)
- CVE-2022-38105. Teabe avalikustamine. Spetsiaalselt koostatud võrgupaketid võivad viia tundliku teabe avalikustamiseni. Ründaja võib selle haavatavuse käivitamiseks saata võrgupäringu. (Alushinne: 7.5 KÕRGE.)
- CVE-2022-38393. Teenuse keelamine (DoS). Spetsiaalselt koostatud võrgupakett võib põhjustada teenuse keelamise. Ründaja võib saata selle haavatavuse käivitamiseks pahatahtliku paketi. (Alushinne: 7.5 KÕRGE.)
- CVE-2022-46871. Potentsiaalselt kasutatavad vead avatud lähtekoodiga versioonis
libusrsctp
raamatukogu. SCTP tähistab Stream Control Transmission Protocol. (Alushinne: 8.8 KÕRGE.) - CVE-2023-28702. Filtreerimata erimärgid URL-ides. Tavaliste kasutajaõigustega kaugründaja saab seda haavatavust ära kasutada käsusüstimise rünnakute tegemiseks suvaliste süsteemikäskude täitmiseks, süsteemi häirimiseks või teenuse lõpetamiseks. (Alushinne: 8.8 KÕRGE.)
- CVE-2023-28703. Puhvri ülevool. Administraatoriõigustega kaugründaja saab seda haavatavust ära kasutada suvaliste süsteemikäskude täitmiseks, süsteemi häirimiseks või teenuse lõpetamiseks. (Alushinne: 7.2 KÕRGE.)
- CVE-2023-31195. Seansi kaaperdamine. Tundlikud küpsised, mida kasutatakse ilma
Secure
atribuutide komplekt. Ründaja võib kasutada võltsitud HTTP (krüptimata) veebilinki, et kaaperdada autentimislubasid, mida ei tohiks krüptimata edastada. (PUNKTI EI OLE.)
Võib-olla on selle loendi kõige tähelepanuväärsem viga CVE-2023-28702, käsusüsti rünnak, mis kõlab sarnaselt MOVEit vead mis on viimasel ajal üleval olnud.
Nagu selgitasime MOVEiti vea järel, mis on käsuparameeter, mis saadetakse veebi URL-is, näiteks päring, mis palub serveril hakata teid kasutajana sisse logima. DUCK
, ei saa anda otse süsteemitaseme käsule, kopeerides pimesi ja usalduslikult toorteksti URL-ist.
Teisisõnu, taotlus:
https://example.com/?user=DUCK
… ei saa lihtsalt teisendada otsese kopeerimise ja kleepimise protsessiga süsteemikäskudeks, näiteks:
checkuser --name=DUCK
Vastasel juhul võib ründaja proovida sisse logida järgmiselt:
https://example.com/?user=DUCK;halt
ja meelitage süsteemi käivitama käsku:
checkuser --name=DUCK;peata
…mis on sama, mis alloleva kahe eraldiseisva käsu andmine järjestikku:
checkuser --name=DUCK peatus
…kus teisel real olev käsk sulgeb kogu serveri.
(Semikoolon toimib käsu eraldajana, mitte käsurea argumentide osana.)
Seansi kaaperdamine
Teine murettekitav viga on põhjustatud seansi kaaperdamise probleem CVE-2023-31195.
Nagu te ilmselt teate, kasutavad serverid sageli veebipõhiseid sisselogimisi, saates teie brauserisse niinimetatud seansiküpsise, mis näitab, et "kes seda küpsist teab, eeldatakse, et see on sama isik, kes just sisse logis".
Kuni server ei anna teile üht neist maagilistest küpsistest enne, kui olete end tuvastanud, näiteks esitades kasutajanime, sobiva parooli ja kehtiva 2FA-koodi, peab ründaja teadma teie sisselogimismandaate, et end esmalt autentida.
Ja seni, kuni server ega teie brauser ei saada kunagi kogemata maagilist küpsist mitteTLS-i, krüptimata, lihtsa vana HTTP-ühenduse kaudu, ei saa ründaja kergesti meelitada teie brauserit petisserveri juurde, mis kasutab selle asemel HTTP-d. HTTPS-i ja seega küpsise lugemiseks pealtkuulatud veebipäringust.
Pidage meeles, et brauseri meelitamine petisdomeenile, näiteks http://example.com/
on suhteliselt lihtne, kui kelm võib ajutiselt teie brauserit meelitada kasutama vale IP-numbrit example.com
domeeni.
Aga meelitades sind https:/example.com/
tähendab, et ründajal on vaja välja pakkuda ka veenvalt võltsitud veebisertifikaat, et pakkuda petturliku serveri valideerimist, mida on palju raskem teha.
Seda tüüpi rünnakute vältimiseks tuleks küpsised, mis on mitteavalikud (kas privaatsuse või juurdepääsu kontrollimise põhjustel), märgistada Secure
HTTP-päises, mis edastatakse nende seadistamisel, näiteks järgmiselt:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Turvaline
... selle asemel, et lihtsalt:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Mida teha?
- Kui teil on mõjutatud ASUSe ruuter (nimekiri on siin), plaasterdage niipea kui võimalik. See, et ASUS jättis plaastrite kättesaamiseks kaua aega, ei tähenda, et teil võib kuluda nii kaua, kui soovite, eriti nüüd, kui sellega seotud vead on avalikud.
- Kui te ei saa korraga lappida, blokeerige kogu sissetulev juurdepääs oma ruuterile, kuni saate värskenduse rakendada. Pange tähele, et ainult HTTP- või HTTPS-ühenduste (veebipõhise liikluse) takistamisest ei piisa. ASUS hoiatab selgesõnaliselt, et kõiki sissetulevaid võrgupäringuid võidakse kuritarvitada, seega tuleb isegi pordi edastamine (nt mängude jaoks) ja VPN-juurdepääs otse ära blokeerida.
- Kui olete programmeerija, desinfitseerige oma sisendid (vältimaks käskude sisestamise vigu ja mälu ületäitumist), ärge oodake kuid või aastaid, et saada klientidele kõrgetasemeliste vigade paigad, ja vaadake üle oma HTTP päised tagamaks, et kasutate kõige turvalisemaid võimalusi kriitiliste andmete, näiteks autentimislubade, vahetamisel.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
- Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- üle
- absoluutne
- juurdepääs
- juurdepääsetav
- Saavutada
- õigusaktid
- haldus-
- nõuandev
- pärast
- Ages
- Materjal: BPA ja flataatide vaba plastik
- mööda
- juba
- Ka
- alati
- an
- ja
- mistahes
- õun
- kehtima
- OLEME
- argumendid
- ümber
- AS
- oletus
- At
- rünnak
- Reageerib
- autenditud
- Autentimine
- autor
- auto
- vältima
- teadlik
- tagasi
- background-image
- baas
- BE
- sest
- olnud
- enne
- alla
- pimesi
- Blokeerima
- blokeeritud
- piir
- põhi
- brauseri
- Bug
- vead
- hõivatud
- kuid
- by
- CAN
- Kaardid
- põhjustatud
- keskus
- sertifikaat
- iseloom
- märki
- kontroll
- klient
- kood
- värv
- Tulema
- ettevõte
- Ettevõtte omad
- suhteliselt
- komponent
- arvuti
- ühendus
- Side
- sisaldab
- kontrollida
- kontrollitud
- ümber
- konverteeriva
- küpsised
- kopeerimine
- Korruptsioon
- võiks
- Kursus
- cover
- volikiri
- kriitiline
- Kliendid
- cve
- andmed
- dDNS
- Denial of Service
- seade
- seadmed
- otsene
- otse
- avalikustamine
- Ekraan
- Häirima
- do
- Ei tee
- domeen
- Ära
- DOS
- alla
- kaks
- e
- lihtsam
- kergesti
- lihtne
- kumbki
- Elektroonika
- piisavalt
- tagama
- eriti
- Isegi
- KUNAGI
- näide
- vahetamine
- täitma
- täitmine
- ootab
- Selgitama
- selgitas
- Ekspluateeri
- ärakasutamine
- avatud
- asjaolu
- Joonis
- fail
- leidma
- esimene
- Järgneb
- eest
- võltsitud
- vorm
- vormid
- pettusega
- Alates
- täis
- funktsionaalsus
- põhiline
- Mängud
- saama
- Andma
- antud
- annab
- graafika
- käepide
- Käsitsemine
- Olema
- päised
- kõrgus
- HEX
- Suur
- kaaperdamine
- Augud
- Avaleht
- hõljuma
- http
- HTTPS
- tuvastatud
- if
- in
- sisaldama
- hõlmab
- Sissetulev
- info
- sisendite
- selle asemel
- sisse
- seotud
- IP
- probleem
- väljaandmine
- IT
- ITS
- ise
- töö
- lihtsalt
- Teadma
- teatud
- puudus
- sülearvutid
- viima
- lahkus
- õigustatud
- Finantsvõimendus
- Raamatukogu
- nagu
- joon
- LINK
- nimekiri
- loginud
- metsaraie
- Logi sisse
- Pikk
- kaua aega
- maagiline
- tegija
- palju
- Varu
- märk
- sobitamine
- küsimus
- max laiuse
- keskmine
- tähendus
- vahendid
- Mälu
- mainitud
- võib
- kuu
- kõige
- MOUNT
- palju
- peab
- Alasti turvalisus
- Vajadus
- vaja
- vajadustele
- kumbki
- võrk
- Võrguandmed
- võrgustike loomine
- uudised
- nst
- ei
- normaalne
- märkimisväärne
- nüüd
- number
- of
- maha
- ametlik
- sageli
- Vana
- on
- kunagi
- ONE
- avatud lähtekoodiga
- tegutsevad
- operatsioonisüsteemi
- Valikud
- or
- originaal
- Muu
- välja
- üle
- paketid
- parameeter
- osa
- eriline
- Parool
- Plaaster
- Paikade
- Paul
- protsent
- täitma
- ehk
- inimene
- telefonid
- Koht
- tavaline
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- positsioon
- võimalik
- Postitusi
- potentsiaal
- vältida
- ennetada
- privaatsus
- privileegid
- tõenäoliselt
- protsess
- Toodet
- Programm
- Programmeerija
- protokoll
- anda
- annab
- avalik
- avaldatud
- küsimus
- kiiremini
- valik
- alates
- hinnang
- Töötlemata
- Lugenud
- põhjustel
- saadud
- rekord
- nimetatud
- suhteline
- vabastatud
- kauge
- Remote Access
- Aruanded
- esindatud
- taotleda
- Taotlusi
- nõudma
- läbi
- õige
- ruuter
- jooksmine
- s
- sama
- ütlema
- skoor
- Teine
- kindlustama
- turvalisus
- saatma
- saatmine
- saadab
- tundlik
- Saadetud
- eri
- Jada
- Seeria
- Serverid
- teenus
- Teenused
- istung
- komplekt
- LAEV
- peaks
- Lülitab välja
- külg
- kirjutama
- sarnane
- lihtsalt
- ühekordne
- So
- tarkvara
- tahke
- mõned
- Keegi
- varsti
- Ruum
- tühikud
- eriline
- seisab
- algus
- oja
- edukas
- selline
- toetama
- SVG
- süsteem
- Võtma
- ütleb
- et
- .
- oma
- Neile
- ennast
- SIIS
- Need
- nad
- see
- aeg
- et
- märgid
- liiga
- võttis
- ülemine
- liiklus
- üleminek
- läbipaistev
- vallandada
- püüdma
- kaks
- kuni
- soovimatu
- Värskendused
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- kasutusalad
- kasutamine
- kinnitamine
- kaudu
- VPN
- Haavatavused
- haavatavus
- Haavatav
- ootama
- ootamine
- Ärka
- tahan
- Hoiatab
- Tee..
- we
- web
- veebiserver
- Veebipõhine
- nädal
- hästi tuntud
- millal
- millal iganes
- mis
- WHO
- kogu
- lai
- Lai valik
- laius
- Metsik
- valmis
- koos
- ilma
- sõnad
- oleks
- kirjutama
- kirjalik
- Vale
- aastat
- sa
- Sinu
- ise
- sephyrnet