ASUS は、ラップトップや携帯電話からホーム ルーターやグラフィックス カードに至るまで、人気の電子製品を製造する有名なメーカーです。
今週、同社はこう発表した。 ファームウェアアップデート 幅広いホームルーターに加えて、 強い警告 今すぐファームウェアを更新する気がない、または更新できない場合は、次のことを行う必要があります。
潜在的な望ましくない侵入を避けるために、WAN 側からアクセスできるサービスを [無効] にします。 これらのサービスには、WAN からのリモート アクセス、ポート転送、DDNS、VPN サーバー、DMZ、ポート トリガーが含まれます。
バグ修正の長いリストが公開された今、ASUS は潜在的な攻撃者が露出したデバイスの探索に忙しいと予想しているのではないかと推測しています。
(もちろん、十分な情報を持った攻撃者は、これらのホールの一部、多く、またはすべてをすでに知っていた可能性がありますが、私たちは実際にゼロデイ エクスプロイトが行われたことを知りません。)
Naked Security で以前に指摘したように、どこを見るべきかを示す標識があれば、エクスプロイトを発見するのがはるかに簡単になることがよくあります。
…干し草の山の中から針を見つけるのと同じように、始める前に誰かがどの俵に入っているか教えてくれれば、はるかに早くて簡単です。
私たちが行うのではなく、私たちが言うようにしてください。
ASUS の顧客にとって迷惑なことは、おそらく、現在パッチが適用されている XNUMX つの脆弱性が、長い間パッチの適用を待っていることです。
これらは両方とも、米国 NVD で 9.8/10 の「危険スコア」と CRITICAL 評価を持っています。 国家脆弱性データベース (レポートは当社によって言い換えられています):
- CVE-2022-26376. httpd unescape 機能でのメモリ破損。 特別に作成された HTTP リクエストはメモリ破損を引き起こす可能性があります。 攻撃者はネットワーク リクエストを送信して、この脆弱性を引き起こす可能性があります。 (基本スコア: 9.8 クリティカル。)
- CVE-2018-1160. Netatalk 3.1.12 [2018-12-20 リリース] より前は、境界外書き込みに対して脆弱です。 これは、攻撃者が制御するデータの境界チェックが不足していることが原因です。 リモートの認証されていない攻撃者がこの脆弱性を利用して、任意のコードを実行する可能性があります。 (基本スコア: 9.8 クリティカル。)
説明する。
ネタトーク は、Apple スタイルのネットワークのサポートを提供するソフトウェア コンポーネントですが、これは、攻撃者がバグを引き起こすために Macintosh コンピュータまたは Apple ソフトウェアを使用する必要があるという意味ではありません。
実際、エクスプロイトを成功させるには意図的に不正なネットワーク データが必要であることを考えると、正規の Netatalk クライアント ソフトウェアではおそらくその仕事を実行できないため、攻撃者はカスタム作成したコードを使用し、理論的にはあらゆるコンピュータ上のあらゆるオペレーティング システムから攻撃を仕掛けることができるでしょう。ネットワーク接続を使用して。
HTTP 逃げることと逃げられないこと URL のテキストで直接表すことができないデータ文字が URL に含まれる場合は常に必要です。
たとえば、URL にはスペースを含めることはできません (印刷可能なテキストの単一の連続したチャンクを常に形成するため)。そのため、スペースを含むユーザー名またはファイルを参照したい場合は、次のようにする必要があります。 脱出 スペース文字をパーセント記号に変換し、その後に 0 進数の ASCII コード (20 進数では 32xXNUMX、または XNUMX) を変換します。
同様に、これはパーセント文字自体に特別な意味を与えるため、これもパーセント記号として記述する必要があります (%
) の後に ASCII コード (0 進数で 25x37、XNUMX 進数で XNUMX) が続きます。また、コロン (:
)、スラッシュ(/
)、疑問符 (?
)およびアンパサンド(&
).
Web サーバー (プログラムは次のように呼ばれます) によって受信されると、 httpd
上記の CVE 情報)、エスケープされた文字はすべて 逃げられない パーセントでエンコードされた形式から元のテキスト文字に変換し直すことによって。
ASUS がこれらの特定のバグを修正するのになぜこれほど時間がかかったのかは、同社の公式アドバイザリーでは言及されていませんが、HTTP「エスケープ コード」の処理は、Web URL をリッスンして使用するソフトウェアの基本的な部分です。
CVE にリストされているその他のバグにパッチが適用されました
- CVE-2022-35401. 認証バイパス。 特別に作成された HTTP リクエストにより、デバイスへの完全な管理アクセスが行われる可能性があります。 攻撃者がこの脆弱性を悪用するには、一連の HTTP リクエストを送信する必要があります。 (基本スコア: 8.1 HIGH.)
- CVE-2022-38105. 情報開示。 特別に作成されたネットワーク パケットは、機密情報の漏洩につながる可能性があります。 攻撃者はネットワーク リクエストを送信して、この脆弱性を引き起こす可能性があります。 (基本スコア: 7.5 高)
- CVE-2022-38393. サービス拒否 (DoS)。 特別に作成されたネットワーク パケットは、サービス妨害を引き起こす可能性があります。 攻撃者は悪意のあるパケットを送信してこの脆弱性を引き起こす可能性があります。 (基本スコア: 7.5 高)
- CVE-2022-46871. オープンソースの潜在的に悪用可能なバグ
libusrsctp
としょうかん。 SCTP は、ストリーム コントロール トランスミッション プロトコルの略です。 (基本スコア: 8.8 HIGH.) - CVE-2023-28702. URL 内のフィルタされていない特殊文字。 通常のユーザー権限を持つリモート攻撃者は、この脆弱性を悪用してコマンド インジェクション攻撃を実行し、任意のシステム コマンドを実行したり、システムを中断したり、サービスを終了したりする可能性があります。 (基本スコア: 8.8 HIGH)
- CVE-2023-28703. バッファオーバーフロー。 管理者権限を持つリモートの攻撃者がこの脆弱性を悪用して、任意のシステム コマンドを実行したり、システムを中断したり、サービスを終了したりする可能性があります。 (基本スコア: 7.2 HIGH)
- CVE-2023-31195. セッションハイジャック。 機密性の高い Cookie は、
Secure
属性セット。 攻撃者は、偽の HTTP (暗号化されていない) Web リンクを使用して、暗号化されていない状態で送信されるべきではない認証トークンをハイジャックする可能性があります。 (スコアはありません。)
おそらくこのリストの中で最も注目すべきバグは次のとおりです。 CVE-2023-28702、コマンド インジェクション攻撃と似たものです。 MOVEitのバグ それが最近ニュースになっています。
MOVEit バグを受けて説明したように、Web URL で送信されるコマンド パラメーター。たとえば、サーバーにユーザーとしてのログオンを開始するように求めるリクエストなどです。 DUCK
、URL から生のテキストを盲目的かつ信頼してコピーすることによって、システムレベルのコマンドに直接渡すことはできません。
つまり、リクエストは次のとおりです。
https://example.com/?user=DUCK
…直接の「コピー&ペースト」プロセスを介して、次のようなシステム コマンドに単純に変換することはできません。
checkuser --name=アヒル
そうしないと、攻撃者は次のようにログオンを試みる可能性があります。
https://example.com/?user=DUCK;halt
…そしてシステムを騙してコマンドを実行させます。
checkuser --name=DUCK;停止
…これは、以下の XNUMX つの別々のコマンドを順番に発行するのと同じです。
checkuser --name=アヒルの停止
…XNUMX 行目のコマンドはサーバー全体をシャットダウンします。
(セミコロンはコマンドライン引数の一部としてではなく、コマンド区切り文字として機能します。)
セッションハイジャック
もう XNUMX つの懸念すべきバグは、次の原因によるセッション ハイジャックの問題です。 CVE-2023-31195.
ご存知かと思いますが、サーバーは多くの場合、いわゆるセッション Cookie をブラウザに送信して、「この Cookie を知っている人はログインしたばかりの人と同じであるとみなされる」ことを示すことによって Web ベースのログインを処理します。
ユーザー名、一致するパスワード、有効な 2FA コードを提示するなどしてユーザーが身元を特定するまでサーバーがこれらのマジック Cookie を提供しない限り、攻撃者はユーザーのログイン資格情報を知る必要があります。まず最初にあなたとして認証されます。
そして、サーバーもブラウザも、非 TLS で暗号化されていない単純な古い HTTP 接続を介して誤ってマジック Cookie を送信しない限り、攻撃者は代わりに HTTP を使用している偽のサーバーにブラウザを簡単に誘導することはできません。 HTTPS を使用して、インターセプトされた Web リクエストから Cookie を読み出します。
ブラウザを次のような偽のドメインに誘導することに注意してください。 http://example.com/
詐欺師がブラウザを一時的にだまして、間違った IP 番号を使用させることができれば、比較的簡単です。 example.com
ドメイン。
でもあなたを誘惑する https:/example.com/
つまり、攻撃者は、不正なサーバー検証を行うために、説得力のある偽造 Web 証明書を用意する必要もありますが、これは非常に困難です。
この種の攻撃を防ぐには、非公開の Cookie (プライバシーまたはアクセス制御上の理由から) にラベルを付ける必要があります。 Secure
設定時に送信される HTTP ヘッダー内で次のようになります。
セットクッキー: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; 安全
…単にではなく:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
何をするか?
- 影響を受ける ASUS ルーターをお持ちの場合 (リストは こちら)、できるだけ早くパッチを適用してください。 ASUS がパッチを提供するために長年放置してきたからといって、特に関連するバグが公の記録となっている現在では、パッチを適用するのに好きなだけ時間をかけてもよいというわけではありません。
- すぐにパッチを適用できない場合は、 アップデートを適用できるようになるまで、ルーターへのすべての受信アクセスをブロックします。 HTTP または HTTPS 接続 (Web ベースのトラフィック) を阻止するだけでは十分ではないことに注意してください。 ASUS は、受信ネットワーク要求が悪用される可能性があるため、ポート転送 (ゲームなど) や VPN アクセスさえも完全にブロックする必要があると明示的に警告しています。
- プログラマーなら、 入力をサニタイズし (コマンド インジェクションのバグやメモリ オーバーフローを回避するため)、スコアの高いバグに対するパッチを顧客に出荷するまでに何ヶ月も何年も待たずに、HTTP ヘッダーをレビューして、可能な限り最も安全なオプションを使用していることを確認します。認証トークンなどの重要なデータを交換するとき。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
- クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 12
- 視聴者の38%が
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- アクセス
- アクセス可能な
- 達成する
- 使徒行伝
- 行政の
- アドバイザリー
- 後
- 年齢
- すべて
- 沿って
- 既に
- また
- 常に
- an
- および
- どれか
- Apple
- 申し込む
- です
- 引数
- 周りに
- AS
- 想定される
- At
- 攻撃
- 攻撃
- 認証された
- 認証
- 著者
- オート
- 避ける
- 知って
- バック
- 背景画像
- ベース
- BE
- なぜなら
- き
- 以下
- やみくもに
- ブロック
- ブロックされた
- 国境
- ボトム
- ブラウザ
- バグ
- バグ
- 忙しい
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- カード
- 生じました
- センター
- 証明書
- 文字
- 文字
- 点検
- クライアント
- コード
- カラー
- 来ます
- 会社
- 会社の
- 比較的
- コンポーネント
- コンピュータ
- 接続
- Connections
- 含まれています
- コントロール
- 制御
- 変換
- 変換
- クッキー
- 複写
- 腐敗
- 可能性
- コース
- カバー
- Credentials
- 重大な
- Customers
- シーブ
- データ
- dDNS
- サービス拒否
- デバイス
- Devices
- 直接
- 直接に
- 開示
- ディスプレイ
- 混乱する
- do
- そうではありません
- ドメイン
- ドント
- DOS
- ダウン
- 原因
- e
- 容易
- 簡単に
- 簡単に
- どちら
- 電子
- 十分な
- 確保
- 特に
- さらに
- EVER
- 例
- 交換
- 実行します
- 実行
- 期待する
- 説明する
- 説明
- 悪用する
- エクスプロイト
- 露出した
- 実際
- フィギュア
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 続いて
- 偽造の
- フォーム
- フォーム
- 不正な
- から
- フル
- 機能性
- 基本的な
- Games
- 取得する
- 与える
- 与えられた
- 与える
- グラフィック
- ハンドル
- ハンドリング
- 持ってる
- ヘッダーの
- 高さ
- HEX
- ハイ
- ハイジャック
- 穴
- ホーム
- ホバー
- HTTP
- HTTPS
- 特定され
- if
- in
- include
- 含ま
- 入ってくる
- 情報
- 入力
- を取得する必要がある者
- に
- 関係する
- IP
- 問題
- 発行
- IT
- ITS
- 自体
- ジョブ
- ただ
- 知っている
- 既知の
- 欠如
- ノートパソコン
- つながる
- 左
- 正当な
- 活用します
- 図書館
- ような
- LINE
- LINK
- リスト
- ログインして
- ロギング
- ログイン
- 長い
- 長い時間
- マジック
- メーカー
- 多くの
- マージン
- マーク
- マッチング
- 問題
- 最大幅
- 意味する
- 意味
- 手段
- メモリ
- 言及した
- かもしれない
- ヶ月
- 最も
- MOUNT
- ずっと
- しなければなりません
- 裸のセキュリティ
- 必要
- 必要とされる
- ニーズ
- どちらでもありません
- ネットワーク
- ネットワークデータ
- ネットワーキング
- ニュース
- ニスト
- いいえ
- 通常の
- 注目すべき
- 今
- 数
- of
- オフ
- 公式
- 頻繁に
- 古い
- on
- かつて
- ONE
- オープンソース
- オペレーティング
- オペレーティングシステム
- オプション
- or
- オリジナル
- その他
- でる
- が
- パケット
- パラメーター
- 部
- 特定の
- パスワード
- パッチ
- パッチ
- Paul Cairns
- パーセント
- 実行する
- おそらく
- 人
- 携帯電話
- 場所
- シンプルスタイル
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 位置
- 可能
- 投稿
- 潜在的な
- 防ぐ
- 予防
- プライバシー
- 特権
- 多分
- プロセス
- 製品
- 演奏曲目
- プログラマー
- 提供します
- は、大阪で
- 公共
- 公表
- 質問
- より速い
- 範囲
- 測距
- 評価
- Raw
- 読む
- 理由は
- 受け
- 記録
- 言及
- 相対
- リリース
- リモート
- リモートアクセス
- レポート
- で表さ
- 要求
- リクエスト
- 必要とする
- レビュー
- 右
- ルータ
- ランニング
- s
- 同じ
- 言う
- スコア
- 二番
- 安全に
- セキュリティ
- 送信
- 送信
- 送る
- 敏感な
- 送信
- 別
- シーケンス
- シリーズ
- サーバー
- サービス
- サービス
- セッション
- セッションに
- 船
- すべき
- シャット
- 側
- 符号
- 同様の
- 単に
- So
- ソフトウェア
- 固体
- 一部
- 誰か
- すぐに
- スペース
- スペース
- 特別
- スタンド
- start
- 流れ
- 成功した
- そのような
- サポート
- SVG
- 取る
- 伝える
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- その後
- ボーマン
- 彼ら
- この
- 時間
- 〜へ
- トークン
- あまりに
- 取った
- top
- トラフィック
- 遷移
- トランスペアレント
- トリガー
- 試します
- 2
- まで
- 不要な
- アップデイト
- URL
- us
- つかいます
- 中古
- ユーザー
- 使用されます
- 、
- VPN
- 脆弱性
- 脆弱性
- 脆弱な
- wait
- 待っています
- ウェーク
- 欲しいです
- 警告する
- 仕方..
- we
- ウェブ
- ウェブサーバー
- ウェブベースの
- 週間
- 周知
- いつ
- たびに
- which
- 誰
- 全体
- ワイド
- 広い範囲
- 幅
- ワイルド
- 喜んで
- 無し
- 言葉
- でしょう
- 書きます
- 書かれた
- 間違った
- 年
- You
- あなたの
- あなた自身
- ゼファーネット