Kuinka tarkistaa ympäristösi Curlin haavoittuvien versioiden varalta

Turvatiimien ei tarvitse siirtyä kriisitilaan ratkaistakseen ongelman äskettäin korjatut haavoittuvuudet komentorivityökalu curlissa ja libcurl-kirjastossa, mutta se ei tarkoita, ettei heidän tarvitse huolehtia vaikutuksen alaisten järjestelmien tunnistamisesta ja korjaamisesta. Jos järjestelmät eivät ole heti hyödynnettävissä, turvallisuustiimeillä on aikaa tehdä nämä päivitykset.

Tämä tekninen vinkki sisältää ohjeita siitä, mitä turvallisuustiimien on tehtävä varmistaakseen, etteivät he ole vaarassa.

Unix- ja Linux-järjestelmien perustavanlaatuinen verkkotyökalu, cURL, jota käytetään komentoriveissä ja skripteissä tiedon siirtämiseen. Sen yleisyys johtuu siitä, että sitä käytetään sekä itsenäisenä apuohjelmana (curl) että kirjastona, joka sisältyy moniin erityyppisiin sovelluksiin (libcurl). Libcurl-kirjasto, jonka avulla kehittäjät voivat käyttää curl-sovellusliittymiä omasta koodistaan, voidaan lisätä suoraan koodiin, käyttää riippuvuutena, käyttää osana käyttöjärjestelmäpakettia, sisällyttää osana Docker-säilöä tai asentaa Kubernetes-klusterin solmu.

Mikä on CVE-2023-38545?

Erittäin vakava haavoittuvuus vaikuttaa curl- ja libcurliin versiot 7.69.0 - 8.3.0, ja vähäinen haavoittuvuus vaikuttaa libcurlin versioihin 7.9.1 - 8.3.0. Haavoittuvuuksia ei kuitenkaan voi hyödyntää oletusolosuhteissa. Haavoittuvuutta laukaistavan hyökkääjän on osoitettava curl hyökkääjän hallinnassa olevaan haitalliseen palvelimeen, varmistettava, että curl käyttää SOCKS5-välityspalvelinta välityspalvelimen ratkaisutilassa, määritettävä curl seuraamaan automaattisesti uudelleenohjauksia ja asetettava puskurin koko pienemmäksi. koko.

Mukaan Yair Mizrahi, JFrogin vanhempi tietoturvatutkija, libcurl-kirjasto on haavoittuvainen vain jos seuraavat ympäristömuuttujat on asetettu: CURLOPT_PROXYTYPE  aseta kirjoittamaan CURLPROXY_SOCKS5_HOSTNAME; tai CURLOPT_PROXY or CURLOPT_PRE_PROXY  asetettu kaavaan sukat5h://. Kirjasto on myös haavoittuvainen, jos jokin välityspalvelimen ympäristömuuttujista on asetettu käyttämään sukat5h:// järjestelmä. Komentorivityökalu on haavoittuvainen vain, jos se suoritetaan -socks5-isäntänimi lippu, tai sen kanssa -välityspalvelin (-x) tai – preproxy asettaa käyttämään mallia sukat5h://. Se on myös haavoittuvainen, jos curl suoritetaan vaikuttavien ympäristömuuttujien kanssa.

"Edellytykset, joita tarvitaan, jotta kone olisi haavoittuvainen (katso edellinen osa), on rajoittavampi kuin alun perin uskottiin. Siksi uskomme, että tämä haavoittuvuus ei vaikuta valtaosaan curl-käyttäjistä”, Mizrahi kirjoitti analyysissä.

Tarkista ympäristö haavoittuvien järjestelmien varalta

Organisaatioiden on ensin määritettävä ympäristönsä tunnistamaan kaikki järjestelmät curl- ja libcurl-toimintojen avulla arvioidakseen, ovatko nämä edellytykset olemassa. Organisaatioiden tulee inventoida järjestelmänsä ja arvioida ohjelmistojen toimitusprosessinsa käyttämällä koodin, skannaussäiliöiden ja sovellusten suojausasennon hallintaohjelmien ohjelmistokoostumusanalyysityökaluja, Cycoden tietoturvatutkimuksen johtaja Alex Ilgayev huomauttaa. Vaikka haavoittuvuus ei vaikuta kaikkiin curl-toteutuksiin, olisi helpompaa tunnistaa järjestelmät, joihin se vaikuttaa, jos tiimi aloittaa luettelon mahdollisista etsittävistä paikoista.

Seuraavat komennot tunnistavat asennetut curl-versiot:

Linux/MacOS:

find / -name curl 2>/dev/null -exec echo "Löytyi: {}" ; -exec {} --versio ;

Windows:

Get-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "Löytyi: $($_.FullName)"; & $_.FullName --versio }

GitHubissa on kysely suoritettavaksi Defender for Endpointissa tunnistaa kaikki ympäristön laitteet, joihin on asennettu curl tai jotka käyttävät curl-toimintoa. Qualys on julkaissut säännöt sen alustan käyttämisestä.

Docker-säilöjä tai muita säilötekniikoita käyttävien organisaatioiden tulee myös skannata kuvat haavoittuvien versioiden varalta. Odotettavissa on huomattava määrä uusintoja, erityisesti docker-kuvissa ja vastaavissa entiteetissä, jotka sisältävät liburl-kopioita. Docker on vetänyt yhteen ohjeluettelo kaikkien kuvien arvioinnissa.

Voit etsiä olemassa olevia tietovarastoja seuraavasti:

docker scout repo enable --org /scout-demo

Voit analysoida paikallisia säilökuvia seuraavasti:

Docker Scout Policy [IMAGE] --org [ORG]

Tämä numero korostaa Endor Labsin tietoturvatutkijan Henrik Platen mukaan, kuinka tärkeää on seurata tarkasti kaikkia avoimen lähdekoodin ohjelmistoja, joita organisaatiossa käytetään.

"Kaikkien curl- ja libcurlin käyttötapojen tunteminen on edellytys todellisen riskin arvioimiselle ja korjaaville toimenpiteille, olipa kyseessä sitten curl-korjaus, pääsyn rajoittaminen vaikuttaviin järjestelmiin epäluotettavista verkoista tai muiden vastatoimien toteuttaminen", Plate sanoi.

Jos sovelluksen mukana tulee ohjelmistojen materiaalilista, se olisi hyvä paikka alkaa etsiä kiharatapauksia, lisää John Gallagher, Viakoo Labsin varatoimitusjohtaja.

Se, että puutteet eivät ole hyödynnettävissä, ei tarkoita, että päivitykset eivät ole välttämättömiä. Laastaria on saatavilla suoraan curlille ja libcurlille, ja monet käyttöjärjestelmät (Debian, Ubuntu, Red Hat jne.) ovat myös julkaisseet kiinteitä versioita. Pidä silmällä muiden sovellusten tietoturvapäivityksiä, sillä libcurl on monien käyttöjärjestelmien ja sovellusten käyttämä kirjasto.

Yksi kiertotapa siihen asti, kunnes päivitykset voidaan ottaa käyttöön, on pakottaa curl käyttämään paikallista isäntänimen ratkaisua, kun se yhdistetään SOCKS5-välityspalvelimeen, JFrogin Mizrahin mukaan. Tämä syntaksi käyttää socks5-mallia eikä socks5h:ta: curl -x socks5://someproxy.com. Korvaa kirjastossa ympäristömuuttuja CURLPROXY_SOCKS5_HOSTNAME with CURLPROXY_SOCKS5.

Benjamin Marrin, turvallisuusinsinöörin mukaan Tunkeutuja, turvallisuustiimien tulisi tarkkailla kihara lippuja liian suurien merkkijonojen varalta, koska se osoittaisi, että järjestelmä on vaarantunut. Liput ovat –socks5-isäntänimitai -välityspalvelin or – preproxy asettaa käyttämään mallia sukat5h://.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl