ASUS adalah pembuat produk elektronik populer yang terkenal, mulai dari laptop dan ponsel hingga router rumah dan kartu grafis.
Minggu ini, perusahaan menerbitkan pembaruan firmware untuk berbagai router rumahnya, bersama dengan a peringatan keras bahwa jika saat ini Anda tidak bersedia atau tidak dapat memperbarui firmware, Anda perlu:
[Nonaktifkan] layanan yang dapat diakses dari sisi WAN untuk menghindari kemungkinan intrusi yang tidak diinginkan. Layanan ini termasuk akses jarak jauh dari WAN, port forwarding, DDNS, server VPN, DMZ, pemicu port.
Kami menduga bahwa ASUS mengharapkan penyerang potensial menyibukkan diri mereka sendiri menyelidiki perangkat yang terbuka sekarang karena daftar panjang perbaikan bug telah dipublikasikan.
(Tentu saja, penyerang yang berpengetahuan luas mungkin sudah mengetahui beberapa, banyak, atau semua lubang ini, tetapi kami tidak mengetahui adanya eksploitasi zero-day di alam liar.)
Seperti yang telah kami tunjukkan sebelumnya di Naked Security, eksploit seringkali jauh lebih mudah diketahui jika Anda memiliki rambu-rambu yang memberi tahu Anda ke mana harus mencariโฆ
โฆ dengan cara yang sama bahwa jauh lebih cepat dan lebih mudah menemukan jarum di tumpukan jerami jika seseorang memberi tahu Anda di bal yang mana sebelum Anda mulai.
Lakukan seperti yang kita katakan, bukan seperti yang kita lakukan.
Yang mengganggu bagi pelanggan ASUS, mungkin, dua dari kerentanan yang sekarang telah ditambal telah menunggu untuk ditambal sejak lama.
Keduanya memiliki "skor bahaya" 9.8/10 dan peringkat KRITIS di NVD AS, atau Database Kerentanan Nasional (laporan diparafrasekan oleh kami):
- CVE-2022-26376. Kerusakan memori dalam fungsionalitas httpd unescape. Permintaan HTTP yang dibuat khusus dapat menyebabkan kerusakan memori. Penyerang dapat mengirimkan permintaan jaringan untuk memicu kerentanan ini. (Skor dasar: 9.8 KRITIS.)
- CVE-2018-1160. Netatalk sebelum 3.1.12 [dirilis 2018-12-20] rentan terhadap penulisan di luar batas. Ini karena kurangnya pemeriksaan batas pada data yang dikontrol penyerang. Penyerang jarak jauh yang tidak diautentikasi dapat memanfaatkan kerentanan ini untuk mencapai eksekusi kode arbitrer. (Skor dasar: 9.8 KRITIS.)
Untuk menjelaskan.
Nettalk adalah komponen perangkat lunak yang memberikan dukungan untuk jaringan bergaya Apple, tetapi ini tidak berarti penyerang harus menggunakan komputer Macintosh atau perangkat lunak Apple untuk memicu bug.
Faktanya, mengingat eksploitasi yang berhasil akan membutuhkan data jaringan yang sengaja dibuat salah, perangkat lunak klien Netatalk yang sah mungkin tidak akan melakukan pekerjaan itu, jadi penyerang akan menggunakan kode yang dibuat khusus dan secara teoritis dapat melakukan serangan dari sistem operasi apa pun di komputer mana pun. dengan koneksi jaringan.
HTTP melarikan diri dan tidak melarikan diri diperlukan setiap kali URL menyertakan karakter data yang tidak dapat secara langsung direpresentasikan dalam teks URL.
Misalnya, URL tidak boleh menyertakan spasi (untuk memastikan bahwa URL selalu membentuk satu potongan teks yang dapat dicetak secara berurutan), jadi jika Anda ingin mereferensikan nama pengguna atau file yang berisi spasi, Anda perlu melarikan diri karakter spasi dengan mengubahnya menjadi tanda persen diikuti dengan kode ASCII dalam heksadesimal (0x20, atau 32 dalam desimal).
Demikian pula, karena ini memberi arti khusus pada karakter persen itu sendiri, itu juga harus ditulis sebagai tanda persen (%
) diikuti dengan kode ASCII-nya (0x25 dalam heksadesimal, atau 37 dalam desimal), sebagaimana karakter lain yang digunakan secara khusus dalam URL, seperti titik dua (:
), garis miring (/
), tanda tanya (?
) dan ampersand (&
).
Setelah diterima oleh server web (program disebut sebagai httpd
dalam informasi CVE di atas), semua karakter yang lolos adalah tidak lolos dengan mengonversinya kembali dari formulir yang disandikan persen menjadi karakter teks asli.
Mengapa ASUS membutuhkan waktu lama untuk menambal bug khusus ini tidak disebutkan dalam penasehat resmi perusahaan, tetapi penanganan "kode pelarian" HTTP adalah bagian mendasar dari perangkat lunak apa pun yang mendengarkan dan menggunakan URL web.
Bug lain yang terdaftar di CVE telah ditambal
- CVE-2022-35401. Pengabaian otentikasi. Permintaan HTTP yang dibuat khusus dapat menghasilkan akses administratif penuh ke perangkat. Penyerang perlu mengirim serangkaian permintaan HTTP untuk mengeksploitasi kerentanan ini. (Skor dasar: 8.1 TINGGI.)
- CVE-2022-38105. Keterbukaan informasi. Paket jaringan yang dibuat khusus dapat mengarah pada pengungkapan informasi sensitif. Penyerang dapat mengirimkan permintaan jaringan untuk memicu kerentanan ini. (Skor dasar: 7.5 TINGGI.)
- CVE-2022-38393. Penolakan layanan (DoS). Paket jaringan yang dibuat khusus dapat menyebabkan penolakan layanan. Penyerang dapat mengirim paket jahat untuk memicu kerentanan ini. (Skor dasar: 7.5 TINGGI.)
- CVE-2022-46871. Bug yang berpotensi dieksploitasi di sumber terbuka
libusrsctp
Perpustakaan. SCTP adalah singkatan dari Protokol Transmisi Kontrol Aliran. (Skor dasar: 8.8 TINGGI.) - CVE-2023-28702. Karakter khusus tanpa filter di URL. Penyerang jarak jauh dengan hak istimewa pengguna normal dapat mengeksploitasi kerentanan ini untuk melakukan serangan injeksi perintah untuk menjalankan perintah sistem arbitrer, mengganggu sistem, atau menghentikan layanan. (Skor dasar: 8.8 TINGGI.)
- CVE-2023-28703. Buffer meluap. Penyerang jarak jauh dengan hak istimewa administrator dapat mengeksploitasi kerentanan ini untuk menjalankan perintah sistem arbitrer, mengganggu sistem, atau menghentikan layanan. (Skor dasar: 7.2 TINGGI.)
- CVE-2023-31195. Pembajakan sesi. Cookie sensitif digunakan tanpa
Secure
set atribut. Penyerang dapat menggunakan tautan web HTTP (tidak terenkripsi) palsu untuk membajak token autentikasi yang tidak boleh dikirimkan tanpa enkripsi. (TANPA SKOR.)
Mungkin bug yang paling menonjol dalam daftar ini adalah CVE-2023-28702, serangan injeksi perintah yang terdengar mirip dengan MOVEit bug yang menjadi berita akhir-akhir ini.
Seperti yang kami jelaskan setelah bug MOVEit, parameter perintah yang dikirim dalam URL web, misalnya permintaan yang meminta server untuk mulai memasukkan Anda sebagai pengguna DUCK
, tidak dapat diserahkan langsung ke perintah tingkat sistem dengan menyalin teks mentah secara membabi buta dan tepercaya dari URL.
Dengan kata lain, permintaan:
https://example.com/?user=DUCK
โฆtidak dapat diubah begitu saja melalui proses โsalin dan tempelโ langsung ke dalam perintah sistem seperti:
checkuser --nama=BEBEK
Jika tidak, penyerang dapat mencoba masuk sebagai:
https://example.com/?user=DUCK;halt
... dan mengelabui sistem agar menjalankan perintah:
checkuser --nama=BEBEK;berhenti
โฆ yang sama dengan mengeluarkan dua perintah terpisah di bawah ini, secara berurutan:
checkuser --name=BEBEK berhenti
โฆdi mana perintah pada baris kedua mematikan seluruh server.
(Titik koma bertindak sebagai pemisah perintah, bukan sebagai bagian dari argumen baris perintah.)
Pembajakan sesi
Bug lain yang mengkhawatirkan adalah masalah pembajakan sesi yang disebabkan oleh CVE-2023-31195.
Seperti yang mungkin Anda ketahui, server sering menangani login berbasis web dengan mengirimkan apa yang disebut cookie sesi ke browser Anda untuk menunjukkan bahwa "siapa pun yang mengetahui cookie ini dianggap sebagai orang yang sama yang baru saja login".
Selama server tidak memberi Anda salah satu cookie ajaib ini sampai Anda mengidentifikasi diri Anda, misalnya dengan memberikan nama pengguna, kata sandi yang cocok, dan kode 2FA yang valid, maka penyerang perlu mengetahui kredensial login Anda untuk mendapatkan otentikasi seperti Anda di tempat pertama.
Dan selama server maupun browser Anda tidak pernah secara tidak sengaja mengirimkan cookie ajaib melalui koneksi HTTP lama yang non-TLS, tidak terenkripsi, dan biasa, maka penyerang tidak akan dapat dengan mudah memikat browser Anda ke server palsu yang menggunakan HTTP sebagai gantinya dari HTTPS, dan dengan demikian membacakan cookie dari permintaan web yang dicegat.
Ingatlah bahwa memikat browser Anda ke domain penipu seperti http://example.com/
relatif mudah jika penjahat untuk sementara dapat mengelabui browser Anda agar menggunakan nomor IP yang salah untuk example.com
domain.
Tapi memikat Anda untuk https:/example.com/
berarti penyerang juga perlu membuat sertifikat web palsu yang meyakinkan, untuk memberikan validasi server palsu, yang jauh lebih sulit dilakukan.
Untuk mencegah serangan semacam ini, cookie yang bersifat non-publik (baik untuk alasan privasi atau kontrol akses) harus diberi label Secure
di header HTTP yang dikirimkan saat disetel, seperti ini:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Aman
โฆ bukan hanya:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Apa yang harus dilakukan?
- Jika Anda memiliki router ASUS yang terpengaruh (daftarnya adalah di sini), tambal sesegera mungkin. Hanya karena ASUS membiarkannya lama untuk mendapatkan tambalan untuk Anda tidak berarti Anda dapat mengambil waktu selama Anda ingin menerapkannya, terutama sekarang bug yang terlibat adalah masalah catatan publik.
- Jika Anda tidak dapat menambal sekaligus, blokir semua akses masuk ke router Anda hingga Anda dapat menerapkan pembaruan. Perhatikan bahwa mencegah koneksi HTTP atau HTTPS (lalu lintas berbasis web) saja tidak cukup. ASUS secara eksplisit memperingatkan bahwa setiap permintaan jaringan yang masuk dapat disalahgunakan, bahkan port forwarding (misalnya untuk game) dan akses VPN perlu diblokir secara langsung.
- Jika Anda seorang programmer, bersihkan input Anda (untuk menghindari bug injeksi perintah dan luapan memori), jangan menunggu berbulan-bulan atau bertahun-tahun untuk mengirimkan tambalan untuk bug skor tinggi ke pelanggan Anda, dan tinjau header HTTP Anda untuk memastikan bahwa Anda menggunakan opsi yang paling aman. saat bertukar data penting seperti token autentikasi.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
- Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- Sanggup
- Tentang Kami
- atas
- Mutlak
- mengakses
- dapat diakses
- Mencapai
- tindakan
- administratif
- laporan
- Setelah
- Abad
- Semua
- sepanjang
- sudah
- juga
- selalu
- an
- dan
- Apa pun
- Apple
- Mendaftar
- ADALAH
- argumen
- sekitar
- AS
- diasumsikan
- At
- menyerang
- Serangan
- dikonfirmasi
- Otentikasi
- penulis
- mobil
- menghindari
- sadar
- kembali
- background-image
- mendasarkan
- BE
- karena
- menjadi
- sebelum
- di bawah
- secara membabi buta
- Memblokir
- diblokir
- batas
- Bawah
- Browser
- Bug
- bug
- sibuk
- tapi
- by
- CAN
- Kartu-kartu
- disebabkan
- pusat
- sertifikat
- karakter
- karakter
- memeriksa
- klien
- kode
- warna
- bagaimana
- perusahaan
- Perusahaan
- relatif
- komponen
- komputer
- koneksi
- Koneksi
- mengandung
- kontrol
- dikendalikan
- dikonversi
- mengkonversi
- kue
- penyalinan
- Korupsi
- bisa
- Kelas
- menutupi
- Surat kepercayaan
- kritis
- pelanggan
- cve
- data
- DNS
- Denial of Service
- alat
- Devices
- langsung
- langsung
- penyingkapan
- Display
- Mengganggu
- do
- Tidak
- domain
- Dont
- DOS
- turun
- dua
- e
- mudah
- mudah
- Mudah
- antara
- Elektronik
- cukup
- memastikan
- terutama
- Bahkan
- pERNAH
- contoh
- bertukar
- menjalankan
- eksekusi
- mengharapkan
- Menjelaskan
- menjelaskan
- Mengeksploitasi
- eksploitasi
- terkena
- fakta
- Angka
- File
- Menemukan
- Pertama
- diikuti
- Untuk
- tertempa
- bentuk
- bentuk
- curang
- dari
- penuh
- fungsi
- mendasar
- Games
- mendapatkan
- Memberikan
- diberikan
- memberikan
- grafis
- menangani
- Penanganan
- Memiliki
- header
- tinggi
- HEX
- High
- membajak
- Lubang
- Beranda
- melayang-layang
- http
- HTTPS
- diidentifikasi
- if
- in
- memasukkan
- termasuk
- masuk
- informasi
- input
- sebagai gantinya
- ke
- terlibat
- IP
- isu
- mengeluarkan
- IT
- NYA
- Diri
- Pekerjaan
- hanya
- Tahu
- dikenal
- Kekurangan
- laptop
- memimpin
- meninggalkan
- sah
- Leverage
- Perpustakaan
- 'like'
- baris
- LINK
- Daftar
- login
- penebangan
- masuk
- Panjang
- lama
- sihir
- pembuat
- banyak
- Margin
- tanda
- sesuai
- hal
- max-width
- berarti
- makna
- cara
- Memori
- tersebut
- mungkin
- bulan
- paling
- MOUNT
- banyak
- harus
- Keamanan Telanjang
- Perlu
- dibutuhkan
- kebutuhan
- juga tidak
- jaringan
- Data Jaringan
- jaringan
- berita
- nisan
- tidak
- normal
- penting
- sekarang
- jumlah
- of
- lepas
- resmi
- sering
- Tua
- on
- sekali
- ONE
- open source
- operasi
- sistem operasi
- Opsi
- or
- asli
- Lainnya
- di luar
- lebih
- paket
- parameter
- bagian
- tertentu
- Kata Sandi
- tambalan
- Patch
- paul
- persen
- Melakukan
- mungkin
- orang
- ponsel
- Tempat
- Polos
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- posisi
- mungkin
- Posts
- potensi
- mencegah
- mencegah
- pribadi
- hak
- mungkin
- proses
- Produk
- program
- Programmer
- protokol
- memberikan
- menyediakan
- publik
- diterbitkan
- pertanyaan
- lebih cepat
- jarak
- mulai
- penilaian
- Mentah
- Baca
- alasan
- diterima
- catatan
- disebut
- relatif
- dirilis
- terpencil
- Remote Access
- laporan
- diwakili
- permintaan
- permintaan
- membutuhkan
- ulasan
- benar
- router
- berjalan
- s
- sama
- mengatakan
- skor
- Kedua
- aman
- keamanan
- mengirim
- mengirim
- mengirimkan
- peka
- mengirim
- terpisah
- Urutan
- Seri
- Server
- layanan
- Layanan
- Sidang
- set
- KAPAL
- harus
- Tutup
- sisi
- menandatangani
- mirip
- hanya
- tunggal
- So
- Perangkat lunak
- padat
- beberapa
- Seseorang
- segera
- Space
- spasi
- khusus
- berdiri
- awal
- aliran
- sukses
- seperti itu
- mendukung
- SVG
- sistem
- Mengambil
- mengatakan
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- Ini
- mereka
- ini
- waktu
- untuk
- Token
- terlalu
- mengambil
- puncak
- lalu lintas
- transisi
- jelas
- memicu
- mencoba
- dua
- sampai
- tidak diinginkan
- Memperbarui
- URL
- us
- menggunakan
- bekas
- Pengguna
- kegunaan
- menggunakan
- pengesahan
- melalui
- VPN
- Kerentanan
- kerentanan
- Rentan
- menunggu
- Menunggu
- Bangun
- ingin
- Peringatkan
- Cara..
- we
- jaringan
- web server
- berbasis web
- minggu
- terkenal
- ketika
- kapan saja
- yang
- SIAPA
- seluruh
- lebar
- Rentang luas
- lebar
- Liar
- rela
- dengan
- tanpa
- kata
- akan
- menulis
- tertulis
- Salah
- tahun
- Kamu
- Anda
- diri
- zephyrnet.dll