Hogyan vizsgálja meg a környezetét a Curl sebezhető verzióinak keresésére

A biztonsági csapatoknak nem kell krízismódba váltaniuk a probléma megoldásához a közelmúltban javított biztonsági rések a parancssori curl és a libcurl könyvtárban, de ez nem jelenti azt, hogy nem kell aggódniuk az érintett rendszerek azonosítása és helyreállítása miatt. Ha a rendszerek nem azonnal kihasználhatók, a biztonsági csapatoknak van egy kis idejük a frissítések elvégzésére.

Ez a műszaki tipp útmutatást ad arról, hogy a biztonsági csapatoknak mit kell tenniük annak érdekében, hogy ne legyenek veszélyben.

A Unix és Linux rendszerek alapvető hálózati eszköze, a cURL parancssorokban és parancsfájlokban használatos adatátvitelre. Elterjedtsége annak a ténynek köszönhető, hogy önálló segédprogramként (curl) és könyvtárként is használják, amely számos különböző típusú alkalmazásban megtalálható (libcurl). A libcurl könyvtár, amely lehetővé teszi a fejlesztők számára, hogy saját kódjukból hozzáférjenek a curl API-khoz, közvetlenül bevihető a kódba, függőségként használható, operációs rendszer csomag részeként használható, Docker tároló részeként vagy telepíthető egy Kubernetes-fürtcsomópont.

Mi az a CVE-2023-38545?

A nagy súlyosságú sebezhetőség a curl-et és a libcurl-ot érinti A 7.69.0-8.3.0-s verziók, az alacsony súlyosságú biztonsági rés pedig a 7.9.1-8.3.0-s libcurl-verziókat érinti. A sérülékenységek azonban alapértelmezett körülmények között nem használhatók ki. A sebezhetőséget kiváltani próbáló támadónak a curl-t a támadó irányítása alatt álló rosszindulatú szerverre kell mutatnia, meg kell győződnie arról, hogy a curl SOCKS5 proxyt használ proxy-feloldó módban, be kell állítania a curl-t az átirányítások automatikus követésére, és a puffer méretét kisebbre kell állítania. méret.

Szerint Yair Mizrahi, a JFrog vezető biztonsági kutatója, a libcurl könyvtár sebezhető csak ha a következő környezeti változók be vannak állítva: CURLOPT_PROXYTYPE  beállítani a gépelésre CURLPROXY_SOCKS5_HOSTNAME, Vagy CURLOPT_PROXY or CURLOPT_PRE_PROXY  sémára állítva zokni5h://. A könyvtár akkor is sebezhető, ha az egyik proxy környezeti változó a következőre van beállítva zokni5h:// rendszer. A parancssori eszköz csak akkor sebezhető, ha a -socks5-gazdanév zászló, vagy azzal -meghatalmazott (-x) vagy – preproxy állítsa be a séma használatát zokni5h://. Az is sebezhető, ha a curl az érintett környezeti változókkal együtt kerül végrehajtásra.

„Az előfeltételek összessége, amelyek szükségesek ahhoz, hogy egy gép sebezhető legyen (lásd az előző részt), szigorúbbak, mint azt eredetileg gondoltuk. Ezért úgy gondoljuk, hogy a curl-felhasználók túlnyomó többségét nem érinti ez a biztonsági rés” – írta Mizrahi az elemzésben.

Vizsgálja meg a környezetet a sebezhető rendszerekért

Az első dolog, amit a szervezeteknek meg kell tenniük, az az, hogy a környezetüket a curl és a libcurl használatával azonosítsák, hogy felmérjék, fennállnak-e ezek az előfeltételek. A szervezeteknek leltárt kell készíteniük rendszereiket és értékelniük kell a szoftverszállítási folyamataikat a kódhoz, a tárolóedények szkenneléséhez és az alkalmazásbiztonsági helyzetkezelő segédprogramokhoz szükséges szoftverösszetétel-elemző eszközök segítségével – jegyzi meg Alex Ilgayev, a Cycode biztonsági kutatási részlegének vezetője. Bár a sérülékenység nem érinti a curl minden megvalósítását, könnyebb lenne azonosítani az érintett rendszereket, ha a csapat a potenciálisan megkeresendő helyek listájával kezdi.

A következő parancsok azonosítják, hogy a curl mely verziói vannak telepítve:

Linux/MacOS:

find / -name curl 2>/dev/null -exec echo "Talált: {}" ; -exec {} --verzió ;

Windows:

Get-ChildItem -C elérési út: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "Found: $($_.FullName)"; & $_.FullName --version }

A GitHub rendelkezik egy lekérdezés a Defender for Endpoint programban való futtatásához a környezetben lévő összes olyan eszköz azonosításához, amelyen telepítve van a curl, vagy amely curl-t használ. A Qualys közzétette szabályzatát platformjának használatáért.

A Docker-tárolókat vagy más konténertechnológiát használó szervezeteknek szintén meg kell vizsgálniuk a képeket a sebezhető verziókért. Jelentős számú újraépítés várható, különösen a docker képek és hasonló entitások esetében, amelyek liburl másolatokat tartalmaznak. Docker összeszedte magát utasítások listája az összes kép értékeléséről.

Meglévő adattárak keresése:

docker scout repo engedélyezése --org /cserkész-demó

A helyi tárolóképek elemzéséhez:

docker scout szabályzat [IMAGE] --org [ORG]

Henrik Plate, az Endor Labs biztonsági kutatója szerint ez a szám rávilágít annak fontosságára, hogy a szervezetben használt összes nyílt forráskódú szoftvert gondosan nyomon kell követni.

"A curl és a libcurl összes használatának ismerete az előfeltétele a tényleges kockázat felmérésének és a helyreállítási intézkedések megtételének, legyen az a curl javítása, a nem megbízható hálózatok érintett rendszereihez való hozzáférés korlátozása vagy más ellenintézkedések végrehajtása" - mondta Plate.

Ha az alkalmazáshoz szoftveres anyagjegyzék is tartozik, ez jó hely lenne a hullámosodási esetek keresésének megkezdéséhez – teszi hozzá John Gallagher, a Viakoo Labs alelnöke.

Csak azért, mert a hibák nem kihasználhatók, nem jelenti azt, hogy a frissítésekre nincs szükség. Patchek elérhetőek közvetlenül a curl-hez és a libcurl-hez, és sok operációs rendszer (Debian, Ubuntu, Red Hat stb.) fix verziót is nyomott. Tartsa szemmel a többi alkalmazás biztonsági frissítéseit, mivel a libcurl számos operációs rendszer és alkalmazás által használt könyvtár.

A JFrog's Mizrahi szerint az egyik megoldás a frissítések telepítéséig az, hogy a curl-t a helyi gazdagépnév-feloldásra kényszerítjük, amikor SOCKS5 proxyhoz csatlakozik. Ez a szintaxis a socks5 sémát használja, és nem a socks5h: curl -x socks5://someproxy.com. A könyvtárban cserélje ki a környezeti változót CURLPROXY_SOCKS5_HOSTNAME val vel CURLPROXY_SOCKS5.

Benjamin Marr, a biztonsági mérnök szerint Betolakodó, a biztonsági csapatoknak figyelniük kell a curl zászlókat a túl nagy karakterláncok keresésére, mivel ez azt jelezné, hogy a rendszer feltört. A zászlók azok –socks5-gazdanévvagy -meghatalmazott or – preproxy állítsa be a séma használatát zokni5h://.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl