צוותי אבטחה לא צריכים לעבור למצב משבר כדי לטפל בבעיה לאחרונה תיקנו פגיעויות בכלי שורת הפקודה curl ובספריית libcurl, אבל זה לא אומר שהם לא צריכים לדאוג לגבי זיהוי ותיקון מערכות מושפעות. אם המערכות אינן ניתנות לניצול מיידי, לצוותי האבטחה יהיה קצת זמן לבצע את העדכונים הללו.
טיפ טכנולוגי זה מקבץ הנחיות לגבי מה שצוותי אבטחה צריכים לעשות כדי להבטיח שהם לא נמצאים בסיכון.
כלי רשת בסיסי למערכות יוניקס ולינוקס, cURL משמש בשורות פקודה ובסקריפטים להעברת נתונים. השכיחות שלו נובעת מהעובדה שהוא משמש גם כעזר עצמאי (curl) וגם כספרייה הכלולה בסוגים רבים ושונים של יישומים (libcurl). את ספריית libcurl, המאפשרת למפתחים לגשת לממשקי API של curl מהקוד שלהם, ניתן להכניס ישירות לקוד, להשתמש כתלות, להשתמש כחלק מחבילת מערכת הפעלה, הכלולה כחלק ממיכל Docker, או להתקין על צומת אשכול Kubernetes.
מה זה CVE-2023-38545?
פגיעות החומרה הגבוהה משפיע על סלסול ו-libcurl גרסאות 7.69.0 עד 8.3.0, והפגיעות בחומרה נמוכה משפיעה על גרסאות libcurl 7.9.1 עד 8.3.0. עם זאת, לא ניתן לנצל את הפגיעויות בתנאי ברירת מחדל. תוקף המנסה להפעיל את הפגיעות יצטרך להפנות סלסול לשרת זדוני בשליטת התוקף, לוודא ש-Curl משתמש ב-Proxy SOCKS5 באמצעות מצב פותר proxy, להגדיר את curl כך שיעקוב אחר הפניות מחדש, ולהגדיר את גודל המאגר לקטן יותר גודל.
לפי יאיר מזרחי, חוקר אבטחה בכיר ב-JFrog, ספריית libcurl פגיעה רק אם נקבעו משתני הסביבה הבאים: CURLOPT_PROXYTYPE מוגדר לסוג CURLPROXY_SOCKS5_HOSTNAME, או CURLOPT_PROXY or CURLOPT_PRE_PROXY מוגדר לתכנית גרביים5h://. הספרייה פגיעה גם אם אחד ממשתני סביבת ה-proxy מוגדר להשתמש ב- גרביים5h:// תָכְנִית. כלי שורת הפקודה פגיע רק אם הוא מבוצע עם -socks5-שם מארח דגל, או עם -פרוקסי (-x) או -פרה-פרוקסי מוגדר להשתמש בסכימה גרביים5h://. זה גם פגיע אם curl מבוצע עם משתני הסביבה המושפעים.
"מערכת התנאים המוקדמים הדרושים על מנת שמכונה תהיה פגיעה (ראה סעיף קודם) מגבילה יותר ממה שחשבו בתחילה. לכן, אנו מאמינים שהרוב המכריע של משתמשי התלתלים לא יושפע מהפגיעות הזו", כתב מזרחי בניתוח.
סרוק את הסביבה לאיתור מערכות פגיעות
הדבר הראשון שארגונים צריכים לעשות הוא להגדיר את הסביבה שלהם כדי לזהות את כל המערכות המשתמשות ב-curl ו-libcurl כדי להעריך אם התנאים המוקדמים האלה קיימים. ארגונים צריכים לעשות מלאי של המערכות שלהם ולהעריך את תהליכי אספקת התוכנה שלהם באמצעות כלים לניתוח הרכב תוכנה עבור קוד, סריקת מיכלים וכלי עזר לניהול תנוחות אבטחת יישומים, מציין אלכס אילגייב, ראש חקר אבטחה ב- Cycode. למרות שהפגיעות אינה משפיעה על כל יישום של curl, יהיה קל יותר לזהות את המערכות המושפעות אם הצוות יתחיל עם רשימה של מיקומים פוטנציאליים לחיפוש.
הפקודות הבאות מזהות אילו גרסאות של curl מותקנות:
לינוקס/MacOS:
find / -name curl 2>/dev/null -exec echo "נמצא: {}" ; -exec {} --גרסה ;
Windows:
Get-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "נמצא: $($_.FullName)"; & $_.FullName --version }
ל-GitHub יש א שאילתה להרצה ב-Defender for Endpoint כדי לזהות את כל ההתקנים בסביבה שבהם מותקנים curl או משתמשים בהם. Qualys פרסמה את הכללים שלה על השימוש בפלטפורמה שלה.
ארגונים המשתמשים בקונטיינרים של Docker או בטכנולוגיות מכולה אחרות צריכים גם לסרוק את התמונות לאיתור גרסאות פגיעות. צפוי מספר נכבד של בנייה מחדש, במיוחד בתמונות docker ובישויות דומות המשלבות עותקי liburl. דוקר התאחד רשימה של הוראות על הערכת כל התמונות.
כדי למצוא מאגרים קיימים:
docker scout repo enable --org /scout-demo
כדי לנתח תמונות מיכל מקומי:
מדיניות docker scout [IMAGE] --org [ORG]
נושא זה מדגיש את החשיבות של מעקב קפדני אחר כל תוכנות הקוד הפתוח בשימוש בארגון, לדברי הנריק פלייט, חוקר אבטחה ב-Endor Labs.
"הידיעה על כל השימושים של curl ו-libcurl היא תנאי הכרחי להערכת הסיכון בפועל ולנקיטת פעולות תיקון, בין אם זה תיקון תלתל, הגבלת גישה למערכות מושפעות מרשתות לא מהימנות או יישום אמצעי נגד אחרים", אמר פלייט.
אם האפליקציה מגיעה עם כתב חומרי תוכנה, זה יהיה מקום טוב להתחיל לחפש מקרים של תלתלים, מוסיף ג'ון גלאגר, סגן נשיא Viakoo Labs.
זה שהפגמים אינם ניתנים לניצול לא אומר שהעדכונים אינם נחוצים. טלאים זמינים ישירות עבור curl ו-libcurl, ורבות ממערכות ההפעלה (דביאן, אובונטו, רד האט וכו') דחפו גם גרסאות קבועות. שים לב לעדכוני אבטחה מיישומים אחרים, שכן libcurl היא ספרייה המשמשת מערכות הפעלה ויישומים רבים.
דרך אחת לעקיפת הבעיה עד שניתן יהיה לפרוס את העדכונים היא לאלץ את curl להשתמש בפתרון שם מארח מקומי בעת חיבור ל-Proxy SOCKS5, על פי מזרחי של JFrog. תחביר זה משתמש בסכימת socks5 ולא socks5h: curl -x socks5://someproxy.com. בספרייה, החלף את משתנה הסביבה CURLPROXY_SOCKS5_HOSTNAME עם CURLPROXY_SOCKS5.
לדברי בנג'מין מאר, מהנדס אבטחה ב פולש, צוותי אבטחה צריכים לעקוב אחר דגלי תלתל עבור מחרוזות גדולות מדי, שכן זה יצביע על כך שהמערכת נפגעה. הדגלים הם –socks5-hostname, או -פרוקסי or -פרה-פרוקסי מוגדר להשתמש בסכימה גרביים5h://.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- :יש ל
- :הוא
- :לֹא
- 1
- 7
- 8
- 9
- a
- אודות
- גישה
- פי
- פעולות
- ממשי
- כתובת
- מוסיף
- להשפיע על
- אגרגטים
- alex
- תעשיות
- מאפשר
- גם
- an
- אנליזה
- לנתח
- ו
- ממשקי API
- בקשה
- אבטחת יישומים
- יישומים
- ARE
- AS
- לְהַעֲרִיך
- הערכה
- At
- באופן אוטומטי
- זמין
- BE
- כי
- היה
- להיות
- תאמינו
- האמין
- בנימין
- הצעת חוק
- שניהם
- חיץ
- צורר
- אבל
- by
- CAN
- לא יכול
- אשכול
- קוד
- מגיע
- הרכב
- התפשר
- תנאים
- מקשר
- מכולה
- מכולות
- לִשְׁלוֹט
- משבר
- נתונים
- בְּרִירַת מֶחדָל
- מסירה
- תלות
- פרס
- מפתחים
- התקנים
- אחר
- ישירות
- do
- סַוָר
- עושה
- לא איכפת
- לא
- דון
- לא
- ראוי
- קל יותר
- הד
- לאפשר
- מהנדס
- לְהַבטִיחַ
- ישויות
- סביבה
- סביבות
- וכו '
- להעריך
- אֲפִילוּ
- כל
- יצא לפועל
- להתקיים
- קיימים
- צפוי
- ומנוצל
- עין
- עובדה
- ראשון
- קבוע
- דגלים
- פגמים
- לעקוב
- הבא
- בעד
- להכריח
- מצא
- החל מ-
- טוב
- הדרכה
- היה
- כובע
- יש
- ראש
- גָבוֹהַ
- פסים
- איך
- איך
- אולם
- HTTPS
- לזהות
- זיהוי
- if
- תמונה
- תמונות
- מיד
- מושפעים
- השפעות
- הפעלה
- יישום
- חשיבות
- in
- כלול
- בע"מ
- להצביע
- בהתחלה
- מותקן
- אל תוך
- הציג
- מלאי
- סוגיה
- IT
- שֶׁלָה
- ג'ון
- jpg
- שמור
- שמירה
- מעבדות
- גָדוֹל
- סִפְרִיָה
- קווים
- לינוקס
- רשימה
- מקומי
- מקומות
- נראה
- הסתכלות
- נמוך
- מכונה
- הרוב
- לעשות
- ניהול
- רב
- חומרים
- אומר
- קַפְּדָנִי
- מצב
- ניטור
- יותר
- הכרחי
- צורך
- נחוץ
- רשתות
- רשתות
- צומת
- הערות
- מספר
- of
- on
- ONE
- רק
- לפתוח
- קוד פתוח
- פועל
- מערכת הפעלה
- מערכות הפעלה
- or
- להזמין
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- שֶׁלוֹ
- חלק
- במיוחד
- טלאים
- תיקון
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- מדיניות
- פוטנציאל
- נשיא
- קודם
- תהליכים
- פרוקסי
- לאור
- דחף
- Red
- רד האט
- להחליף
- מחקר
- חוקר
- פתרון
- מגביל
- מגבילה
- הסיכון
- הפעלה
- אמר
- סריקה
- סריקה
- תכנית
- היקף
- לְגַשֵׁשׁ
- סקריפטים
- סעיף
- אבטחה
- לִרְאוֹת
- לחצני מצוקה לפנסיונרים
- שרת
- סט
- צריך
- דומה
- במידה ניכרת
- מידה
- קטן יותר
- תוכנה
- חשבון תוכנה
- כמה
- מָקוֹר
- עצמאי
- התחלה
- התחלות
- בטוח
- Swing
- תחביר
- מערכת
- מערכות
- נטילת
- נבחרת
- צוותי
- טק
- טכנולוגיות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- לכן
- הֵם
- דבר
- זֶה
- אלה
- אם כי?
- זמן
- טיפ
- ל
- יַחַד
- כלי
- כלים
- לעקוב
- להעביר
- להפעיל
- מנסה
- סוגים
- אובונטו
- תחת
- יוניקס
- עד
- עדכונים
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- שימושים
- באמצעות
- כלי עזר
- תועלת
- משתנה
- Vast
- גירסאות
- סְגָן
- סגן הנשיא
- פגיעויות
- פגיעות
- פגיע
- we
- טוֹב
- מה
- מתי
- אם
- אשר
- עם
- לדאוג
- היה
- כתב
- זפירנט