L'hype sul bug di Curl svanisce dopo la rivelazione della patch

Da giorni ormai, la comunità della sicurezza informatica attende con ansia la grande rivelazione su due falle di sicurezza che, secondo il fondatore di curl Daniel Stenberg, ne includevano una che probabilmente era "la peggiore falla di sicurezza di curl da molto tempo".

Curl è uno strumento di risoluzione proxy open source utilizzato come "intermediario" per trasferire file tra vari protocolli, presente letteralmente in miliardi di istanze di applicazioni. Il suggerimento di un enorme difetto nella libreria open source ha evocato ricordi catastrofici difetto log4j dal 2021. Come temeva Alex Ilgayev, capo della ricerca sulla sicurezza presso Cycode, “la vulnerabilità nella libreria curl potrebbe rivelarsi più impegnativa dell’incidente Log4j di due anni fa”.

Ma dopo quello di oggi presentazione di patch e dettagli sui bug, nessuna delle due vulnerabilità è stata all'altezza delle aspettative.

Impatto su un numero limitato di distribuzioni Curl

Il primo vuln, a Difetto di overflow del buffer basato sull'heap tracciato sotto CVE-2023-38545, è stato assegnato un punteggio "alto" a causa del potenziale danneggiamento dei dati o persino di esecuzione di codice in modalità remota (RCE). Secondo l’avviso, il problema risiede nel passaggio di delega SOCKS5.

"Quando viene chiesto a curl di passare il nome host al proxy SOCKS5 per consentire la risoluzione dell'indirizzo invece che venga eseguito da curl stesso, la lunghezza massima del nome host è di 255 byte", afferma l'avviso. "Se viene rilevato che il nome host è più lungo di 255 byte, curl passa alla risoluzione del nome locale e trasmette invece l'indirizzo risolto solo al proxy."

Il bug potrebbe consentire la trasmissione di un valore errato durante l'handshake SOCKS5.

"A causa di un bug, la variabile locale che significa 'lascia che sia l'host a risolvere il nome' potrebbe ottenere il valore sbagliato durante un handshake SOCKS5 lento e, contrariamente alle intenzioni, copiare il nome host troppo lungo nel buffer di destinazione invece di copiare solo il indirizzo risolto lì", ha aggiunto l'avviso.

Tuttavia, la designazione di elevata gravità si applica solo a una frazione delle implementazioni, afferma l’esperto di sicurezza informatica Jake Williams.

"Si tratta di un livello di gravità elevato solo in circostanze molto limitate", afferma Williams. “Penso che sia semplicemente un problema che quando si ha una vulnerabilità nella libreria, si sappia come viene utilizzata la libreria. È necessario assegnare il CVE ipotizzando lo scenario peggiore per l'implementazione."

Il secondo bug di curl, tracciato sotto CVE-2023-38546, è un difetto di iniezione di cookie di bassa gravità che influisce solo sulla libreria libcurl, non su curl stesso.

"Penso che questo sia un problema più grande per i dispositivi e gli apparecchi di sicurezza (che recuperano contenuti non attendibili e spesso utilizzano curl sotto il cofano)", ha affermato Andy Hornegold in una dichiarazione in reazione al rilascio dei dettagli del bug curl. "Non credo che sia un grosso problema per l'utilizzo autonomo."

I pericoli di esagerare con una soluzione

Al di là del fastidio per i team di sicurezza informatica, pubblicizzare una soluzione prima che i dettagli tecnici vengano rilasciati può garantire una facile vittoria agli autori delle minacce. In questo caso, Williams sottolinea che RedHat ha aggiornato il suo registro delle modifiche prima del rilascio ufficiale di curl, che avrebbe potuto fornire agli aggressori informatici informazioni importanti sugli obiettivi senza patch, se la vulnerabilità fosse stata così pericolosa come si pensava in precedenza.

In effetti, Mike McGuire di Synopsys ha visto i pericoli derivanti dall'accresciuta attenzione sull'aggiornamento dei riccioli e ne ha scritto in un blog il 9 ottobre.

"Nonostante non siano disponibili ulteriori dettagli sulla vulnerabilità, gli autori delle minacce inizieranno senza dubbio dei tentativi di sfruttamento", ha scritto McGuire. "Inoltre, non è inaudito che gli aggressori pubblichino versioni fasulle 'corrette' di un progetto pieno di malware per trarre vantaggio dai team che si affrettano a patchare software vulnerabile."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/curl-bug-hype-fizzles-after-patching-reveal