Hoe u uw omgeving kunt scannen op kwetsbare versies van Curl

Beveiligingsteams hoeven niet in de crisismodus te gaan om de problemen aan te pakken onlangs opgeloste kwetsbaarheden in het opdrachtregelprogramma curl en de libcurl-bibliotheek, maar dat betekent niet dat ze zich geen zorgen hoeven te maken over het identificeren en herstellen van getroffen systemen. Als de systemen niet onmiddellijk kunnen worden misbruikt, hebben beveiligingsteams enige tijd om de updates uit te voeren.

Deze technische tip verzamelt richtlijnen over wat beveiligingsteams moeten doen om ervoor te zorgen dat ze geen risico lopen.

cURL is een fundamentele netwerktool voor Unix- en Linux-systemen en wordt gebruikt in opdrachtregels en scripts om gegevens over te dragen. De prevalentie ervan is te danken aan het feit dat het zowel als een op zichzelf staand hulpprogramma (curl) als als een bibliotheek wordt gebruikt die in veel verschillende soorten toepassingen is opgenomen (libcurl). De libcurl-bibliotheek, waarmee ontwikkelaars vanuit hun eigen code toegang hebben tot curl-API's, kan rechtstreeks in de code worden geïntroduceerd, als afhankelijkheid worden gebruikt, als onderdeel van een besturingssysteembundel worden gebruikt, worden opgenomen als onderdeel van een Docker-container, of worden geïnstalleerd op een computer. Kubernetes-clusterknooppunt.

Wat is CVE-2023-38545?

De kwetsbaarheid met hoge ernst beïnvloedt krul en libcurl versies 7.69.0 tot 8.3.0, en de kwetsbaarheid met lage ernst heeft gevolgen voor libcurl-versies 7.9.1 tot 8.3.0. Onder standaardomstandigheden kunnen de kwetsbaarheden echter niet worden misbruikt. Een aanvaller die het beveiligingslek probeert te activeren, moet curl richten op een kwaadwillende server onder controle van de aanvaller, ervoor zorgen dat curl een SOCKS5-proxy gebruikt met behulp van de proxy-resolver-modus, curl configureren om automatisch omleidingen te volgen en de buffergrootte op een kleinere instellen. maat.

Think Jair Mizrahi, een senior beveiligingsonderzoeker bij JFrog, is de libcurl-bibliotheek kwetsbaar Slechts als de volgende omgevingsvariabelen zijn ingesteld: CURLOPT_PROXYTYPE  ingesteld op typen CURLPROXY_SOCKS5_HOSTNAME; of CURLOPT_PROXY or CURLOPT_PRE_PROXY  ingesteld op schema sokken5h://. De bibliotheek is ook kwetsbaar als een van de proxy-omgevingsvariabelen is ingesteld om de sokken5h:// schema. Het opdrachtregelprogramma is alleen kwetsbaar als het wordt uitgevoerd met de -socks5-hostnaam vlag, of met -volmacht (-x) of –voorproxy ingesteld om het schema te gebruiken sokken5h://. Het is ook kwetsbaar als curl wordt uitgevoerd met de getroffen omgevingsvariabelen.

“De reeks randvoorwaarden die nodig zijn om een ​​machine kwetsbaar te maken (zie vorige paragraaf) is restrictiever dan aanvankelijk werd gedacht. Daarom zijn we van mening dat de overgrote meerderheid van de curl-gebruikers niet door dit beveiligingslek zal worden getroffen”, schreef Mizrahi in de analyse.

Scan de omgeving op kwetsbare systemen

Het eerste dat organisaties moeten doen, is hun omgevingen inrichten om alle systemen te identificeren die gebruik maken van curl en libcurl, om te beoordelen of deze voorwaarden aanwezig zijn. Organisaties moeten hun systemen inventariseren en hun softwareleveringsprocessen evalueren met behulp van softwarecompositie-analysetools voor code, het scannen van containers en hulpprogramma's voor applicatiebeveiligingspostuurbeheer, merkt Alex Ilgayev op, hoofd beveiligingsonderzoek bij Cycode. Hoewel de kwetsbaarheid niet elke implementatie van curl treft, zou het gemakkelijker zijn om de getroffen systemen te identificeren als het team begint met een lijst met mogelijke locaties om te zoeken.

De volgende opdrachten geven aan welke versies van curl zijn geïnstalleerd:

Linux/MacOS:

find / -name curl 2>/dev/null -exec echo "Gevonden: {}" ; -exec {} --versie ;

Windows:

Get-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { Write-Host "Gevonden: $($_.FullName)"; & $_.FullName --versie }

GitHub heeft een query die moet worden uitgevoerd in Defender voor Endpoint om alle apparaten in de omgeving te identificeren waarop curl is geïnstalleerd of die curl gebruiken. Qualys heeft haar regels gepubliceerd voor het gebruik van zijn platform.

Organisaties die Docker-containers of andere containertechnologieën gebruiken, moeten de afbeeldingen ook scannen op kwetsbare versies. Er wordt een aanzienlijk aantal herbouwingen verwacht, vooral bij docker-images en soortgelijke entiteiten die liburl-kopieën bevatten. Docker heeft de krachten gebundeld een lijst met instructies bij het beoordelen van alle afbeeldingen.

Bestaande opslagplaatsen vinden:

docker scout repository inschakelen --org /scout-demo

Lokale containerimages analyseren:

docker scoutbeleid [IMAGE] --org [ORG]

Dit nummer benadrukt het belang van het nauwgezet bijhouden van alle open source-software die in een organisatie wordt gebruikt, aldus Henrik Plate, een beveiligingsonderzoeker bij Endor Labs.

“Het kennen van al het gebruik van curl en libcurl is een voorwaarde voor het beoordelen van het daadwerkelijke risico en het nemen van herstelmaatregelen, of het nu gaat om het patchen van curl, het beperken van de toegang tot getroffen systemen vanaf niet-vertrouwde netwerken, of het implementeren van andere tegenmaatregelen”, aldus Plate.

Als de applicatie wordt geleverd met een softwarestuklijst, zou dat een goede plek zijn om te zoeken naar gevallen van krul, zegt John Gallagher, vice-president van Viakoo Labs.

Het feit dat de fouten niet kunnen worden misbruikt, betekent niet dat de updates niet nodig zijn. Er zijn pleisters beschikbaar direct voor curl en libcurl, en veel van de besturingssystemen (Debian, Ubuntu, Red Hat, enz.) hebben ook vaste versies gepusht. Houd beveiligingsupdates van andere applicaties in de gaten, aangezien libcurl een bibliotheek is die door veel besturingssystemen en applicaties wordt gebruikt.

Eén oplossing totdat de updates kunnen worden geïmplementeerd, is het forceren van curl om het omzetten van lokale hostnamen te gebruiken bij het verbinden met een SOCKS5-proxy, volgens Mizrahi van JFrog. Deze syntaxis gebruikt het sokken5-schema en niet sokken5h: curl -x sokken5://someproxy.com. Vervang in de bibliotheek de omgevingsvariabele CURLPROXY_SOCKS5_HOSTNAME Met CURLPROXY_SOCKS5.

Volgens Benjamin Marr, een beveiligingsingenieur bij Indringermoeten beveiligingsteams curl-vlaggen controleren op buitensporig grote tekenreeksen, omdat dit erop zou kunnen wijzen dat het systeem is gecompromitteerd. De vlaggen zijn –socks5-hostnaamof -volmacht or –voorproxy ingesteld om het schema te gebruiken sokken5h://.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl