Cara Memindai Lingkungan Anda untuk Menemukan Versi Curl yang Rentan

Tim keamanan tidak perlu beralih ke mode krisis untuk mengatasi hal ini baru-baru ini memperbaiki kerentanan pada alat baris perintah curl dan perpustakaan libcurl, namun hal ini tidak berarti mereka tidak perlu khawatir dalam mengidentifikasi dan memulihkan sistem yang terkena dampak. Jika sistem tidak segera dapat dieksploitasi, tim keamanan mempunyai waktu untuk melakukan pembaruan tersebut.

Tip Teknologi ini mengumpulkan panduan tentang apa yang perlu dilakukan tim keamanan untuk memastikan mereka tidak menghadapi risiko.

Alat jaringan dasar untuk sistem Unix dan Linux, cURL digunakan dalam baris perintah dan skrip untuk mentransfer data. Prevalensinya disebabkan oleh fakta bahwa ia digunakan baik sebagai utilitas mandiri (curl) maupun sebagai perpustakaan yang disertakan dalam berbagai jenis aplikasi (libcurl). Pustaka libcurl, yang memungkinkan pengembang mengakses API curl dari kode mereka sendiri, dapat dimasukkan langsung ke dalam kode, digunakan sebagai dependensi, digunakan sebagai bagian dari bundel sistem operasi, disertakan sebagai bagian dari wadah Docker, atau diinstal pada a Node kluster Kubernetes.

Apa itu CVE-2023-38545?

Kerentanan dengan tingkat keparahan yang tinggi mempengaruhi curl dan libcurl versi 7.69.0 hingga 8.3.0, dan kerentanan tingkat keparahan rendah berdampak pada libcurl versi 7.9.1 hingga 8.3.0. Namun, kerentanan tidak dapat dieksploitasi dalam kondisi default. Penyerang yang mencoba memicu kerentanan perlu mengarahkan curl ke server jahat yang berada di bawah kendali penyerang, memastikan curl menggunakan proksi SOCKS5 menggunakan mode proxy-resolver, mengonfigurasi curl agar otomatis mengikuti pengalihan, dan menyetel ukuran buffer ke lebih kecil ukuran.

Menurut Yair Mizrahi, peneliti keamanan senior di JFrog, perpustakaan libcurl rentan hanya jika variabel lingkungan berikut ditetapkan: CURLOPT_PROXYTYPE  diatur untuk mengetik CURLPROXY_SOCKS5_HOSTNAME, Atau CURLOPT_PROXY or CURLOPT_PRE_PROXY  diatur ke skema kaus kaki5 jam: //. Perpustakaan juga rentan jika salah satu variabel lingkungan proksi diatur untuk menggunakan kaus kaki5 jam: // skema. Alat baris perintah hanya rentan jika dijalankan dengan -socks5-nama host bendera, atau dengan –proksi (-x) atau –praproksi diatur untuk menggunakan skema tersebut kaus kaki5 jam: //. Hal ini juga rentan jika curl dijalankan dengan variabel lingkungan yang terpengaruh.

“Serangkaian prasyarat yang diperlukan agar mesin menjadi rentan (lihat bagian sebelumnya) lebih ketat dari yang diperkirakan sebelumnya. Oleh karena itu, kami yakin sebagian besar pengguna curl tidak akan terpengaruh oleh kerentanan ini,” tulis Mizrahi dalam analisisnya.

Pindai Lingkungan untuk Sistem yang Rentan

Hal pertama yang perlu dilakukan organisasi adalah mengukur lingkungan mereka untuk mengidentifikasi semua sistem menggunakan curl dan libcurl untuk menilai apakah prasyarat tersebut ada. Organisasi harus menginventarisasi sistem mereka dan mengevaluasi proses pengiriman perangkat lunak mereka menggunakan alat analisis komposisi perangkat lunak untuk kode, wadah pemindaian, dan utilitas manajemen postur keamanan aplikasi, catat Alex Ilgayev, kepala penelitian keamanan di Cycode. Meskipun kerentanan tidak mempengaruhi setiap penerapan curl, akan lebih mudah untuk mengidentifikasi sistem yang terkena dampak jika tim memulai dengan daftar lokasi potensial untuk dicari.

Perintah berikut mengidentifikasi versi curl mana yang diinstal:

Linux/MacOS:

temukan / -name curl 2>/dev/null -exec echo "Ditemukan: {}" ; -exec {} --versi ;

Windows:

Dapatkan-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "Ditemukan: $($_.FullName)"; & $_.Nama Lengkap --version }

GitHub memiliki kueri untuk dijalankan di Defender for Endpoint untuk mengidentifikasi semua perangkat di lingkungan yang telah menginstal curl atau menggunakan curl. Qualys telah menerbitkan aturannya untuk menggunakan platformnya.

Organisasi yang menggunakan container Docker atau teknologi container lainnya juga harus memindai image untuk mencari versi yang rentan. Diperkirakan akan ada sejumlah besar pembangunan kembali, terutama pada image buruh pelabuhan dan entitas serupa yang menyertakan salinan liburl. Docker telah bekerja sama daftar instruksi dalam menilai semua gambar.

Untuk menemukan repositori yang ada:

aktifkan repo pramuka buruh pelabuhan --org /demo pramuka

Untuk menganalisis gambar kontainer lokal:

kebijakan pramuka buruh pelabuhan [IMAGE] --org [ORG]

Masalah ini menyoroti pentingnya melacak dengan cermat semua perangkat lunak sumber terbuka yang digunakan dalam suatu organisasi, menurut Henrik Plate, peneliti keamanan di Endor Labs.

“Mengetahui semua penggunaan curl dan libcurl merupakan prasyarat untuk menilai risiko aktual dan mengambil tindakan remediasi, baik itu menambal curl, membatasi akses ke sistem yang terkena dampak dari jaringan yang tidak tepercaya, atau menerapkan tindakan pencegahan lainnya,” kata Plate.

Jika aplikasi dilengkapi dengan perangkat lunak bill of material, itu akan menjadi tempat yang baik untuk mulai mencari contoh curl, tambah John Gallagher, wakil presiden Viakoo Labs.

Hanya karena kelemahannya tidak dapat dieksploitasi bukan berarti pembaruan tidak diperlukan. Patch tersedia langsung untuk curl dan libcurl, dan banyak sistem operasi (Debian, Ubuntu, Red Hat, dll.) juga telah menerapkan versi tetap. Perhatikan pembaruan keamanan dari aplikasi lain, karena libcurl adalah perpustakaan yang digunakan oleh banyak sistem operasi dan aplikasi.

Salah satu solusi hingga pembaruan dapat diterapkan adalah memaksa curl untuk menggunakan penyelesaian nama host lokal saat menghubungkan ke proksi SOCKS5, menurut Mizrahi JFrog. Sintaks ini menggunakan skema kaus kaki5 dan bukan kaus kaki5h: curl -x kaus kaki5://someproxy.com. Di perpustakaan, ganti variabel lingkungan CURLPROXY_SOCKS5_HOSTNAME dengan CURLPROXY_SOCKS5.

Menurut Benjamin Marr, seorang insinyur keamanan di Pengacau, tim keamanan harus memantau tanda ikal untuk mencari string yang terlalu besar, karena hal itu menunjukkan bahwa sistem telah disusupi. Benderanya adalah –socks5-nama host, atau –proksi or –praproksi diatur untuk menggunakan skema tersebut kaus kaki5 jam: //.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl