ASUS er en velkjent produsent av populære elektronikkprodukter, alt fra bærbare datamaskiner og telefoner til hjemmerutere og grafikkort.
Denne uken publiserte selskapet firmwareoppdateringer for et bredt utvalg av hjemmeruterne, sammen med en sterk advarsel at hvis du ikke er villig eller i stand til å oppdatere fastvaren akkurat nå, må du:
[Deaktiver] tjenester tilgjengelig fra WAN-siden for å unngå potensielle uønskede inntrengninger. Disse tjenestene inkluderer fjerntilgang fra WAN, portvideresending, DDNS, VPN-server, DMZ, portutløser.
Vi tipper at ASUS forventer at potensielle angripere holder på med å undersøke utsatte enheter nå som en lang liste med feilrettinger er publisert.
(Selvfølgelig kan godt informerte angripere ha visst om noen, mange eller alle disse hullene allerede, men vi er ikke klar over noen nulldagers utnyttelser i naturen.)
Som vi har påpekt før på Naked Security, er utnyttelser ofte mye lettere å finne ut hvis du har skilt som forteller deg hvor du skal lete...
…på samme måte som det er mye raskere og enklere å finne en nål i en høystakk hvis noen forteller deg hvilken balle den er i før du starter.
Gjør som vi sier, ikke som vi gjør.
Irriterende for ASUS-kunder, kanskje, har to av de nå korrigerte sårbarhetene eksistert og ventet på å bli rettet i lang tid.
Begge disse har en 9.8/10 "danger score" og en CRITICAL-vurdering i US NVD, eller Nasjonal sikkerhetsdatabase (rapporter omskrevet av oss):
- CVE-2022-26376. Minnekorrupsjon i httpd unescape-funksjonen. En spesiallaget HTTP-forespørsel kan føre til minnekorrupsjon. En angriper kan sende en nettverksforespørsel for å utløse dette sikkerhetsproblemet. (Basiscore: 9.8 KRITISK.)
- CVE-2018-1160. Netatalk før 3.1.12 [utgitt 2018-12-20] sårbar for en out-of-bound-skriving. Dette er på grunn av manglende grensekontroll på angriperkontrollerte data. En ekstern uautentisert angriper kan utnytte dette sikkerhetsproblemet for å oppnå vilkårlig kodekjøring. (Basiscore: 9.8 KRITISK.)
Å forklare.
nettalk er en programvarekomponent som gir støtte for Apple-lignende nettverk, men dette betyr ikke at en angriper trenger å bruke en Macintosh-datamaskin eller Apple-programvare for å utløse feilen.
Faktisk, gitt at en vellykket utnyttelse ville kreve bevisst misformede nettverksdata, ville legitim Netatalk-klientprogramvare sannsynligvis ikke gjøre jobben uansett, så en angriper ville bruke spesiallaget kode og kunne teoretisk sett montere et angrep fra et hvilket som helst operativsystem på hvilken som helst datamaskin med en nettverkstilkobling.
HTTP rømme og unnslippe er nødvendig når en URL inneholder et datategn som ikke kan representeres direkte i teksten til URL-en.
Nettadresser kan for eksempel ikke inneholde mellomrom (for å sikre at de alltid utgjør en enkelt, sammenhengende del av utskrivbar tekst), så hvis du vil referere til et brukernavn eller en fil som inneholder et mellomrom, må du flykte mellomromstegnet ved å konvertere det til et prosenttegn etterfulgt av ASCII-koden i heksadesimal (0x20 eller 32 i desimal).
På samme måte, fordi dette gir en spesiell betydning til selve prosenttegnet, må det også skrives som et prosenttegn (%
) etterfulgt av ASCII-koden (0x25 i heksadesimalt eller 37 i desimal), i likhet med andre tegn som brukes særskilt i nettadresser, for eksempel kolon (:
), skråstrek (/
), spørsmålstegn (?
) og ampersand (&
).
En gang mottatt av en webserver (programmet referert til som httpd
i CVE-informasjonen ovenfor), er eventuelle escapede tegn uforandret ved å konvertere dem tilbake fra de prosentkodede skjemaene til de originale teksttegnene.
Hvorfor ASUS tok så lang tid å lappe disse feilene er ikke nevnt i selskapets offisielle råd, men håndtering av HTTP-«escape-koder» er en grunnleggende del av all programvare som lytter til og bruker nettadresser.
Andre CVE-listede feil rettet
- CVE-2022-35401. Omgå autentisering. En spesiallaget HTTP-forespørsel kan føre til full administrativ tilgang til enheten. En angriper må sende en rekke HTTP-forespørsler for å utnytte dette sikkerhetsproblemet. (Basiscore: 8.1 HØY.)
- CVE-2022-38105. Informasjonsutlevering. Spesiallagede nettverkspakker kan føre til avsløring av sensitiv informasjon. En angriper kan sende en nettverksforespørsel for å utløse dette sikkerhetsproblemet. (Basiscore: 7.5 HØY.)
- CVE-2022-38393. Denial-of-service (DoS). En spesiallaget nettverkspakke kan føre til tjenestenekt. En angriper kan sende en ondsinnet pakke for å utløse dette sikkerhetsproblemet. (Basiscore: 7.5 HØY.)
- CVE-2022-46871. Potensielt utnyttbare feil i åpen kildekode
libusrsctp
bibliotek. SCTP står for Stream Control Transmission Protocol. (Basiscore: 8.8 HØY.) - CVE-2023-28702. Ufiltrerte spesialtegn i URL-er. En ekstern angriper med normale brukerrettigheter kan utnytte dette sikkerhetsproblemet til å utføre kommandoinjeksjonsangrep for å utføre vilkårlige systemkommandoer, forstyrre systemet eller avslutte tjenesten. (Basiscore: 8.8 HØY.)
- CVE-2023-28703. Bufferoverløp. En ekstern angriper med administratorrettigheter kan utnytte dette sikkerhetsproblemet til å utføre vilkårlige systemkommandoer, forstyrre systemet eller avslutte tjenesten. (Basiscore: 7.2 HØY.)
- CVE-2023-31195. Sesjonskapring. Sensitive informasjonskapsler brukes uten
Secure
attributtsett. En angriper kan bruke en falsk HTTP (ukryptert) nettkobling for å kapre autentiseringstokener som ikke skal overføres ukryptert. (INGEN POENG.)
Den kanskje mest bemerkelsesverdige feilen i denne listen er CVE-2023-28702, et kommandoinjeksjonsangrep som høres ut som MOVEit-feil som har vært over hele nyhetene i det siste.
Som vi forklarte i kjølvannet av MOVEit-feilen, er en kommandoparameter som sendes i en nettadresse, for eksempel en forespørsel som ber serveren om å begynne å logge deg på som bruker DUCK
, kan ikke overføres direkte til en kommando på systemnivå ved blindt og tillitsfullt å kopiere rå tekst fra URL-en.
Med andre ord, forespørselen:
https://example.com/?user=DUCK
...kan ikke bare konverteres via en direkte "kopier-og-lim"-prosess til en systemkommando som:
checkuser --name=DUCK
Ellers kan en angriper prøve å logge på som:
https://example.com/?user=DUCK;halt
…og lure systemet til å kjøre kommandoen:
checkuser --name=DUCK;stopp
…som er det samme som å gi de to separate kommandoene nedenfor, i rekkefølge:
checkuser --name=DUCK stopp
…hvor kommandoen på den andre linjen slår av hele serveren.
(Semikolonet fungerer som en kommandoseparator, ikke som en del av kommandolinjeargumentene.)
Øktkapring
En annen bekymringsfull feil er øktkapringsproblemet forårsaket av CVE-2023-31195.
Som du sikkert vet, håndterer servere ofte nettbaserte pålogginger ved å sende en såkalt session-cookie til nettleseren din for å angi at "den som kjenner denne informasjonskapselen antas å være den samme personen som nettopp logget på".
Så lenge serveren ikke gir deg en av disse magiske informasjonskapslene før etter at du har identifisert deg selv, for eksempel ved å presentere et brukernavn, et matchende passord og en gyldig 2FA-kode, må en angriper vite påloggingsinformasjonen din for å bli autentisert som deg i utgangspunktet.
Og så lenge verken serveren eller nettleseren din noen gang ved et uhell sender den magiske informasjonskapselen over en ikke-TLS, ukryptert, vanlig gammel HTTP-tilkobling, vil en angriper ikke lett kunne lokke nettleseren din til en bedragerserver som bruker HTTP i stedet av HTTPS, og dermed å lese opp informasjonskapselen fra den avlyttede nettforespørselen.
Husk at å lokke nettleseren din til et bedragerdomene som f.eks http://example.com/
er relativt enkelt hvis en kjeltring midlertidig kan lure nettleseren din til å bruke feil IP-nummer for example.com
domene.
Men lokker deg til https:/example.com/
betyr at angriperen også må komme opp med et overbevisende forfalsket nettsertifikat for å gi falsk servervalidering, noe som er mye vanskeligere å gjøre.
For å forhindre denne typen angrep, bør informasjonskapsler som er ikke-offentlige (enten av hensyn til personvern eller tilgangskontroll) merkes Secure
i HTTP-headeren som sendes når de er angitt, slik:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Sikre
…i stedet for bare:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Hva gjør jeg?
- Hvis du har en berørt ASUS-ruter (listen er her.), lapp så snart du kan. Bare fordi ASUS forlot det i evigheter for å få oppdateringene til deg, betyr det ikke at du kan bruke så lang tid du vil på å bruke dem, spesielt nå som de involverte feilene er et offentlig dokument.
- Hvis du ikke kan lappe med en gang, blokker all innkommende tilgang til ruteren din til du kan ta i bruk oppdateringen. Merk at det ikke er nok å bare forhindre HTTP- eller HTTPS-tilkoblinger (nettbasert trafikk). ASUS advarer eksplisitt om at alle innkommende nettverksforespørsler kan bli misbrukt, så til og med portvideresending (f.eks. for spill) og VPN-tilgang må blokkeres direkte.
- Hvis du er en programmerer, rense inndataene dine (for å unngå kommandoinjeksjonsfeil og minneoverflyt), ikke vent måneder eller år med å sende oppdateringer for høyscorefeil til kundene dine, og se gjennom HTTP-overskriftene dine for å sikre at du bruker de sikreste alternativene som mulig når du utveksler kritiske data som autentiseringstokener.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
- Quantum Media Group. IR/PR forsterket. Tilgang her.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- I stand
- Om oss
- ovenfor
- Absolute
- adgang
- tilgjengelig
- Oppnå
- handlinger
- administrativ
- rådgivende
- Etter
- Ages
- Alle
- langs
- allerede
- også
- alltid
- an
- og
- noen
- eple
- Påfør
- ER
- argumenter
- rundt
- AS
- antatt
- At
- angripe
- Angrep
- autentisert
- Autentisering
- forfatter
- auto
- unngå
- klar
- tilbake
- background-image
- basen
- BE
- fordi
- vært
- før du
- under
- blindt
- Blokker
- blokkert
- grensen
- Bunn
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- Bug
- bugs
- opptatt
- men
- by
- CAN
- Kort
- forårsaket
- sentrum
- sertifikat
- karakter
- tegn
- kontroll
- kunde
- kode
- farge
- Kom
- Selskapet
- Selskapets
- forholdsvis
- komponent
- datamaskin
- tilkobling
- Tilkoblinger
- inneholder
- kontroll
- kontrolleres
- konvertert
- konvertering
- cookies
- kopiering
- Korrupsjon
- kunne
- Kurs
- dekke
- Credentials
- kritisk
- Kunder
- cve
- dato
- dDNS
- Denial of Service
- enhet
- Enheter
- direkte
- direkte
- avsløring
- Vise
- Avbryte
- do
- ikke
- domene
- ikke
- DOS
- ned
- to
- e
- enklere
- lett
- lett
- enten
- Elektronikk
- nok
- sikre
- spesielt
- Selv
- NOEN GANG
- eksempel
- utveksling
- henrette
- gjennomføring
- forventer
- Forklar
- forklarte
- Exploit
- exploits
- utsatt
- Faktisk
- Figur
- filet
- Finn
- Først
- fulgt
- Til
- smidd
- skjema
- skjemaer
- uredelig
- fra
- fullt
- funksjonalitet
- fundamental
- Games
- få
- Gi
- gitt
- gir
- grafikk
- håndtere
- Håndtering
- Ha
- overskrifter
- høyde
- HEX
- Høy
- kapre
- Holes
- Hjemprodukt
- hover
- http
- HTTPS
- identifisert
- if
- in
- inkludere
- inkluderer
- Innkommende
- informasjon
- innganger
- i stedet
- inn
- involvert
- IP
- utstedelse
- utstedelse
- IT
- DET ER
- selv
- Jobb
- bare
- Vet
- kjent
- maling
- bærbare datamaskiner
- føre
- venstre
- legitim
- Leverage
- Bibliotek
- i likhet med
- linje
- LINK
- Liste
- logget
- logging
- Logg inn
- Lang
- lang tid
- magi
- maker
- mange
- Margin
- merke
- matchende
- Saken
- max bredde
- bety
- betyr
- midler
- Minne
- nevnt
- kunne
- måneder
- mest
- MONTER
- mye
- må
- Naken sikkerhet
- Trenger
- nødvendig
- behov
- Ingen
- nettverk
- Nettverksdata
- nettverk
- nyheter
- nst
- Nei.
- normal
- bemerkelsesverdig
- nå
- Antall
- of
- off
- offisiell
- ofte
- Gammel
- on
- gang
- ONE
- åpen kildekode
- drift
- operativsystem
- alternativer
- or
- original
- Annen
- ut
- enn
- pakker
- parameter
- del
- Spesielt
- Passord
- patch
- Patches
- paul
- prosent
- Utfør
- kanskje
- person
- telefoner
- Sted
- Plain
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- posisjon
- mulig
- innlegg
- potensiell
- forebygge
- hindre
- privatliv
- privilegier
- sannsynligvis
- prosess
- Produkter
- program
- Programmerer
- protokollen
- gi
- gir
- offentlig
- publisert
- spørsmål
- raskere
- område
- spenner
- vurdering
- Raw
- Lese
- grunner
- mottatt
- rekord
- referert
- slektning
- utgitt
- fjernkontroll
- fjerntilgang
- Rapporter
- representert
- anmode
- forespørsler
- krever
- anmeldelse
- ikke sant
- router
- rennende
- s
- samme
- sier
- Resultat
- Sekund
- sikre
- sikkerhet
- send
- sending
- sender
- sensitive
- sendt
- separat
- Sequence
- Serien
- Servere
- tjeneste
- Tjenester
- Session
- sett
- SKIP
- bør
- stenger
- side
- undertegne
- lignende
- ganske enkelt
- enkelt
- So
- Software
- solid
- noen
- Noen
- snart
- Rom
- mellomrom
- spesiell
- står
- Begynn
- stream
- vellykket
- slik
- støtte
- SVG
- system
- Ta
- forteller
- Det
- De
- deres
- Dem
- seg
- deretter
- Disse
- de
- denne
- tid
- til
- tokens
- også
- tok
- topp
- trafikk
- overgang
- gjennomsiktig
- utløse
- prøve
- to
- til
- uønsket
- Oppdater
- URL
- us
- bruke
- brukt
- Bruker
- bruker
- ved hjelp av
- validering
- av
- VPN
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- vente
- venter
- Wake
- ønsker
- advarer
- Vei..
- we
- web
- webserveren
- Web-basert
- uke
- velkjent
- når
- når som helst
- hvilken
- HVEM
- hele
- bred
- Bred rekkevidde
- bredde
- Wild
- villig
- med
- uten
- ord
- ville
- skrive
- skrevet
- Feil
- år
- Du
- Din
- deg selv
- zephyrnet