कर्ल के कमजोर संस्करणों के लिए अपने पर्यावरण को कैसे स्कैन करें

कर्ल के कमजोर संस्करणों के लिए अपने पर्यावरण को कैसे स्कैन करें

समय टिकट: अक्टूबर 12, 2023 6:00 अपराह्न
कर्ल प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के कमजोर संस्करणों के लिए अपने पर्यावरण को कैसे स्कैन करें। लंबवत खोज. ऐ.

सुरक्षा टीमों को इससे निपटने के लिए संकट की स्थिति में जाने की जरूरत नहीं है हाल ही में कमांड-लाइन टूल कर्ल और libcurl लाइब्रेरी में कमजोरियाँ ठीक की गईं, लेकिन इसका मतलब यह नहीं है कि उन्हें प्रभावित प्रणालियों की पहचान करने और उन्हें ठीक करने के बारे में चिंता करने की ज़रूरत नहीं है। यदि सिस्टम तुरंत शोषण योग्य नहीं हैं, तो सुरक्षा टीमों के पास उन अद्यतनों को करने के लिए कुछ समय है।

यह टेक टिप इस बारे में मार्गदर्शन एकत्र करती है कि सुरक्षा टीमों को यह सुनिश्चित करने के लिए क्या करने की आवश्यकता है कि वे जोखिम में नहीं हैं।

यूनिक्स और लिनक्स सिस्टम के लिए एक मूलभूत नेटवर्किंग टूल, cURL का उपयोग डेटा ट्रांसफर करने के लिए कमांड लाइन और स्क्रिप्ट में किया जाता है। इसकी व्यापकता इस तथ्य के कारण है कि इसका उपयोग एक स्टैंडअलोन उपयोगिता (कर्ल) के साथ-साथ एक लाइब्रेरी के रूप में किया जाता है जो कई अलग-अलग प्रकार के अनुप्रयोगों (libcurl) में शामिल है। लिबकरल लाइब्रेरी, जो डेवलपर्स को अपने स्वयं के कोड से कर्ल एपीआई तक पहुंचने की अनुमति देती है, को सीधे कोड में पेश किया जा सकता है, एक निर्भरता के रूप में उपयोग किया जाता है, एक ऑपरेटिंग सिस्टम बंडल के हिस्से के रूप में उपयोग किया जाता है, एक डॉकर कंटेनर के हिस्से के रूप में शामिल किया जाता है, या एक पर स्थापित किया जाता है। कुबेरनेट्स क्लस्टर नोड।

सीवीई-2023-38545 क्या है?

उच्च गंभीरता भेद्यता कर्ल और libcurl को प्रभावित करता है संस्करण 7.69.0 से 8.3.0, और कम गंभीरता की भेद्यता libcurl संस्करण 7.9.1 से 8.3.0 को प्रभावित करती है। हालाँकि, डिफ़ॉल्ट स्थितियों के तहत कमजोरियों का फायदा नहीं उठाया जा सकता है। भेद्यता को ट्रिगर करने का प्रयास करने वाले हमलावर को हमलावर के नियंत्रण में एक दुर्भावनापूर्ण सर्वर पर कर्ल को इंगित करने की आवश्यकता होगी, सुनिश्चित करें कि कर्ल प्रॉक्सी-रिज़ॉल्वर मोड का उपयोग करके SOCKS5 प्रॉक्सी का उपयोग कर रहा है, स्वचालित रूप से रीडायरेक्ट का पालन करने के लिए कर्ल को कॉन्फ़िगर करें, और बफर आकार को छोटे पर सेट करें आकार।

के अनुसार यायर मिज़राहीजेफ्रॉग के एक वरिष्ठ सुरक्षा शोधकर्ता, libcurl लाइब्रेरी असुरक्षित है केवल यदि निम्नलिखित पर्यावरण चर सेट हैं: CURLOPT_PROXYTYPE  टाइप करने के लिए सेट करें CURLPROXY_SOCKS5_HOSTNAME, या CURLOPT_प्रॉक्सी or CURLOPT_PRE_PROXY  योजना पर सेट करें मोज़े5एच://. यदि प्रॉक्सी वातावरण चर में से किसी एक का उपयोग करने के लिए सेट किया गया है तो लाइब्रेरी भी असुरक्षित है मोज़े5एच:// योजना। कमांड-लाइन टूल केवल तभी असुरक्षित होता है जब इसे इसके साथ निष्पादित किया जाता है -सॉक्स5-होस्टनाम झंडा, या साथ -प्रॉक्सी (-x)या -प्रीप्रॉक्सी योजना का उपयोग करने के लिए सेट करें मोज़े5एच://. यदि कर्ल को प्रभावित पर्यावरण चर के साथ निष्पादित किया जाता है तो यह भी असुरक्षित है।

“किसी मशीन के असुरक्षित होने के लिए आवश्यक पूर्व-शर्तों का सेट (पिछला अनुभाग देखें) शुरू में विश्वास की तुलना में अधिक प्रतिबंधात्मक है। इसलिए, हमारा मानना ​​​​है कि अधिकांश कर्ल उपयोगकर्ता इस भेद्यता से प्रभावित नहीं होंगे, ”मिज़राही ने विश्लेषण में लिखा है।

संवेदनशील प्रणालियों के लिए पर्यावरण को स्कैन करें

पहली चीज़ जो संगठनों को करने की ज़रूरत है वह यह आकलन करने के लिए कि क्या वे पूर्व शर्तें मौजूद हैं, कर्ल और libcurl का उपयोग करके सभी प्रणालियों की पहचान करने के लिए अपने वातावरण का दायरा बढ़ाना है। साइकोड में सुरक्षा अनुसंधान के प्रमुख एलेक्स इल्गायेव कहते हैं, संगठनों को अपने सिस्टम की सूची बनानी चाहिए और कोड, स्कैनिंग कंटेनर और एप्लिकेशन सुरक्षा स्थिति प्रबंधन उपयोगिताओं के लिए सॉफ़्टवेयर संरचना विश्लेषण टूल का उपयोग करके अपनी सॉफ़्टवेयर वितरण प्रक्रियाओं का मूल्यांकन करना चाहिए। भले ही भेद्यता कर्ल के प्रत्येक कार्यान्वयन को प्रभावित नहीं करती है, लेकिन यदि टीम देखने के लिए संभावित स्थानों की सूची के साथ शुरुआत करती है तो प्रभावित सिस्टम की पहचान करना आसान होगा।

निम्नलिखित आदेश पहचानते हैं कि कर्ल के कौन से संस्करण स्थापित हैं:

लिनक्स/मैकओएस:

ढूंढें / -नाम कर्ल 2>/dev/null -exec इको "मिला: {}" ; -exec {} --संस्करण ;

Windows:

गेट-चाइल्डआइटम -पाथ सी: -रिकर्स -एररएक्शन साइलेंटलीकंटिन्यू -फिल्टर कर्ल.exe | ForEach-Object { Write-Host "मिला: $($_.FullName)"; और $_.पूरा नाम--संस्करण }

GitHub के पास एक है एंडपॉइंट के लिए डिफेंडर में चलने वाली क्वेरी वातावरण में उन सभी उपकरणों की पहचान करने के लिए जिनमें कर्ल स्थापित है या कर्ल का उपयोग करते हैं। क्वालिस ने अपने नियम प्रकाशित किए हैं इसके मंच का उपयोग करने के लिए।

डॉकर कंटेनर या अन्य कंटेनर प्रौद्योगिकियों का उपयोग करने वाले संगठनों को भी कमजोर संस्करणों के लिए छवियों को स्कैन करना चाहिए। बड़ी संख्या में पुनर्निर्माण की उम्मीद की जाती है, विशेष रूप से डॉकर छवियों और इसी तरह की संस्थाओं में जिनमें लिबरल प्रतियां शामिल हैं। डॉकर ने एक साथ खींच लिया है निर्देशों की एक सूची सभी छवियों का आकलन करने पर.

मौजूदा रिपॉजिटरी ढूंढने के लिए:

डॉकर स्काउट रेपो सक्षम --org /स्काउट-डेमो

स्थानीय कंटेनर छवियों का विश्लेषण करने के लिए:

डॉकर स्काउट नीति [छवि] --संगठन [ओआरजी]

एंडोर लैब्स के एक सुरक्षा शोधकर्ता हेनरिक प्लेट के अनुसार, यह मुद्दा किसी संगठन में उपयोग किए जा रहे सभी ओपन सोर्स सॉफ़्टवेयर का सावधानीपूर्वक ट्रैक रखने के महत्व पर प्रकाश डालता है।

प्लेट ने कहा, "कर्ल और लिबकरल के सभी उपयोगों के बारे में जानना वास्तविक जोखिम का आकलन करने और उपचारात्मक कार्रवाई करने के लिए पूर्व शर्त है, चाहे वह कर्ल को पैच करना हो, अविश्वसनीय नेटवर्क से प्रभावित सिस्टम तक पहुंच को प्रतिबंधित करना हो, या अन्य जवाबी उपायों को लागू करना हो।"

यदि एप्लिकेशन सामग्रियों के सॉफ़्टवेयर बिल के साथ आता है, तो यह कर्ल के उदाहरणों की तलाश शुरू करने के लिए एक अच्छी जगह होगी, वियाकू लैब्स के उपाध्यक्ष जॉन गैलाघेर कहते हैं।

सिर्फ इसलिए कि खामियां शोषण योग्य नहीं हैं इसका मतलब यह नहीं है कि अपडेट आवश्यक नहीं हैं। पैच उपलब्ध हैं सीधे कर्ल और libcurl के लिए, और कई ऑपरेटिंग सिस्टम (डेबियन, उबंटू, रेड हैट, आदि) ने भी निश्चित संस्करण जारी कर दिए हैं। अन्य एप्लिकेशन के सुरक्षा अपडेट पर नज़र रखें, क्योंकि libcurl एक लाइब्रेरी है जिसका उपयोग कई ऑपरेटिंग सिस्टम और एप्लिकेशन द्वारा किया जाता है।

जेफ्रॉग के मिज़राही के अनुसार, जब तक अद्यतनों को तैनात नहीं किया जा सकता, तब तक एक समाधान यह है कि कर्ल को SOCKS5 प्रॉक्सी से कनेक्ट करते समय स्थानीय होस्टनाम रिज़ॉल्यूशन का उपयोग करने के लिए बाध्य किया जाए। यह सिंटैक्स सॉक्स5 योजना का उपयोग करता है न कि सॉक्स5एच का: कर्ल -x मोजे5://someproxy.com. लाइब्रेरी में, पर्यावरण चर बदलें CURLPROXY_SOCKS5_HOSTNAME साथ में CURLPROXY_SOCKS5.

के एक सुरक्षा इंजीनियर बेंजामिन मार्र के अनुसार घुसेड़नेवाला, सुरक्षा टीमों को अत्यधिक बड़े तारों के लिए कर्ल फ़्लैग की निगरानी करनी चाहिए, क्योंकि इससे संकेत मिलेगा कि सिस्टम से समझौता किया गया है। झंडे हैं -सॉक्स5-होस्टनामया, -प्रॉक्सी or -प्रीप्रॉक्सी योजना का उपयोग करने के लिए सेट करें मोज़े5एच://.

समय टिकट:

से अधिक डार्क रीडिंग