A ASUS é um fabricante conhecido de produtos eletrônicos populares, desde laptops e telefones até roteadores domésticos e placas gráficas.
Esta semana, a empresa publicou atualizações de firmware para uma ampla gama de roteadores domésticos, juntamente com um forte aviso que, se você não deseja ou não pode atualizar seu firmware agora, precisa:
[Desativar] serviços acessíveis do lado da WAN para evitar possíveis invasões indesejadas. Esses serviços incluem acesso remoto de WAN, encaminhamento de porta, DDNS, servidor VPN, DMZ, gatilho de porta.
Estamos supondo que a ASUS espera que invasores em potencial se ocupem em investigar os dispositivos expostos agora que uma longa lista de correções de bugs foi publicada.
(Claro, invasores bem informados podem já saber sobre alguns, muitos ou todos esses buracos, mas não temos conhecimento de nenhuma exploração de dia zero em estado selvagem.)
Como já apontamos antes no Naked Security, exploits geralmente são muito mais fáceis de descobrir se você tiver placas indicando onde procurar…
…da mesma forma que é muito mais rápido e fácil encontrar uma agulha no palheiro se alguém lhe disser em que fardo está antes de começar.
Faça o que dizemos, não o que fazemos.
Para irritar os clientes da ASUS, talvez, duas das vulnerabilidades agora corrigidas estejam esperando para serem corrigidas há muito tempo.
Ambos têm uma “pontuação de perigo” de 9.8/10 e uma classificação CRÍTICA no NVD dos EUA, ou Banco de Dados Nacional de Vulnerabilidades (relatos parafraseados por nós):
- CVE-2022-26376. Corrupção de memória na funcionalidade httpd unescape. Uma solicitação HTTP especialmente criada pode levar à corrupção de memória. Um invasor pode enviar uma solicitação de rede para acionar essa vulnerabilidade. (Pontuação base: 9.8 CRÍTICO.)
- CVE-2018-1160. Netatalk antes de 3.1.12 [lançado em 2018-12-20] vulnerável a uma gravação fora dos limites. Isso ocorre devido à falta de verificação de limites nos dados controlados pelo invasor. Um invasor remoto não autenticado pode aproveitar essa vulnerabilidade para obter a execução arbitrária de código. (Pontuação base: 9.8 CRÍTICO.)
Explicar.
Netalk é um componente de software que fornece suporte para rede estilo Apple, mas isso não significa que um invasor precise usar um computador Macintosh ou software Apple para acionar o bug.
Na verdade, dado que uma exploração bem-sucedida exigiria dados de rede deliberadamente malformados, o software cliente Netatalk legítimo provavelmente não faria o trabalho de qualquer maneira; portanto, um invasor usaria um código personalizado e poderia, teoricamente, montar um ataque de qualquer sistema operacional em qualquer computador. com uma conexão de rede.
HTTP escapando e não escapando é necessário sempre que um URL inclui um caractere de dados que não pode ser representado diretamente no texto do URL.
Por exemplo, os URLs não podem incluir espaços (para garantir que sempre formem um único bloco contíguo de texto imprimível), portanto, se você quiser fazer referência a um nome de usuário ou a um arquivo que contenha um espaço, precisará escapar o caractere de espaço convertendo-o em um sinal de porcentagem seguido por seu código ASCII em hexadecimal (0x20 ou 32 em decimal).
Da mesma forma, como isso dá um significado especial ao próprio caractere de porcentagem, ele também deve ser escrito como um sinal de porcentagem (%
) seguido por seu código ASCII (0x25 em hexadecimal ou 37 em decimal), assim como outros caracteres usados distintamente em URLs, como dois pontos (:
), golpear (/
), ponto de interrogação (?
) e e comercial (&
).
Uma vez recebido por um servidor web (o programa referido como httpd
nas informações CVE acima), quaisquer caracteres de escape são sem escape convertendo-os de volta de seus formulários codificados por porcentagem para os caracteres de texto originais.
O motivo pelo qual a ASUS demorou tanto para corrigir esses bugs específicos não é mencionado no comunicado oficial da empresa, mas lidar com “códigos de escape” HTTP é uma parte fundamental de qualquer software que escuta e usa URLs da web.
Outros bugs listados no CVE corrigidos
- CVE-2022-35401. Bypass de autenticação. Uma solicitação HTTP especialmente criada pode levar ao acesso administrativo total ao dispositivo. Um invasor precisaria enviar uma série de solicitações HTTP para explorar essa vulnerabilidade. (Pontuação base: 8.1 ALTO.)
- CVE-2022-38105. Divulgação de informação. Pacotes de rede especialmente criados podem levar à divulgação de informações confidenciais. Um invasor pode enviar uma solicitação de rede para acionar essa vulnerabilidade. (Pontuação base: 7.5 ALTA.)
- CVE-2022-38393. Negação de serviço (DoS). Um pacote de rede especialmente criado pode levar à negação de serviço. Um invasor pode enviar um pacote mal-intencionado para acionar essa vulnerabilidade. (Pontuação base: 7.5 ALTA.)
- CVE-2022-46871. Bugs potencialmente exploráveis no código-fonte aberto
libusrsctp
biblioteca. SCTP significa Stream Control Transmission Protocol. (Pontuação base: 8.8 ALTO.) - CVE-2023-28702. Caracteres especiais não filtrados em URLs. Um invasor remoto com privilégios normais de usuário pode explorar essa vulnerabilidade para executar ataques de injeção de comando para executar comandos arbitrários do sistema, interromper o sistema ou encerrar o serviço. (Pontuação base: 8.8 ALTO.)
- CVE-2023-28703. Estouro de buffer. Um invasor remoto com privilégios de administrador pode explorar essa vulnerabilidade para executar comandos arbitrários do sistema, interromper o sistema ou encerrar o serviço. (Pontuação base: 7.2 ALTO.)
- CVE-2023-31195. Sequestro de sessão. Cookies sensíveis usados sem o
Secure
conjunto de atributos. Um invasor pode usar um link da Web HTTP falso (não criptografado) para sequestrar tokens de autenticação que não devem ser transmitidos sem criptografia. (NENHUMA PONTUAÇÃO.)
Talvez o bug mais notável nesta lista seja CVE-2023-28702, um ataque de injeção de comando que soa semelhante ao Bugs do MOVEit que tem estado em todos os noticiários ultimamente.
Como explicamos na sequência do bug do MOVEit, um parâmetro de comando enviado em uma URL da Web, por exemplo, uma solicitação solicitando ao servidor que inicie o logon de você como usuário DUCK
, não pode ser entregue diretamente a um comando no nível do sistema, copiando de forma cega e confiável o texto bruto da URL.
Em outras palavras, o pedido:
https://example.com/?user=DUCK
…não pode simplesmente ser convertido por meio de um processo direto de “copiar e colar” em um comando do sistema, como:
usuário de verificação --name=PATO
Caso contrário, um invasor pode tentar fazer logon como:
https://example.com/?user=DUCK;halt
…e induzir o sistema a executar o comando:
usuário de verificação --name=DUCK;halt
…que é o mesmo que emitir os dois comandos separados abaixo, em sequência:
checkuser --name=DUCK parada
…onde o comando na segunda linha desliga todo o servidor.
(O ponto e vírgula atua como um separador de comando, não como parte dos argumentos da linha de comando.)
Seqüestro de sessão
Outro bug preocupante é o problema de sequestro de sessão causado por CVE-2023-31195.
Como você provavelmente sabe, os servidores geralmente lidam com logins baseados na Web enviando um chamado cookie de sessão para o seu navegador para indicar que “quem conhece esse cookie é considerado a mesma pessoa que acabou de fazer login”.
Contanto que o servidor não forneça a você um desses cookies mágicos até que você se identifique, por exemplo, apresentando um nome de usuário, uma senha correspondente e um código 2FA válido, um invasor precisará saber suas credenciais de login para seja autenticado como você em primeiro lugar.
E desde que nem o servidor nem o seu navegador enviem acidentalmente o cookie mágico por uma conexão HTTP antiga, não criptografada e não TLS, um invasor não conseguirá facilmente atrair seu navegador para um servidor impostor que está usando HTTP. de HTTPS e, assim, ler o cookie da solicitação da web interceptada.
Lembre-se de que atrair seu navegador para um domínio impostor como http://example.com/
é comparativamente fácil se um bandido pode enganar temporariamente seu navegador para usar o número IP errado para o example.com
domínio.
Mas atraindo você para https:/example.com/
significa que o invasor também precisa criar um certificado da Web falsificado de forma convincente para fornecer validação de servidor fraudulenta, o que é muito mais difícil de fazer.
Para evitar esse tipo de ataque, os cookies que não são públicos (por motivos de privacidade ou controle de acesso) devem ser rotulados Secure
no cabeçalho HTTP que é transmitido quando eles são definidos, assim:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Seguro
… em vez de simplesmente:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
O que fazer?
- Se você tiver um roteador ASUS afetado (a lista é SUA PARTICIPAÇÃO FAZ A DIFERENÇA), corrija assim que puder. Só porque a ASUS demorou muito para enviar os patches para você, não significa que você pode demorar o quanto quiser para aplicá-los, especialmente agora que os bugs envolvidos são uma questão de registro público.
- Se você não pode corrigir de uma vez, bloqueie todo o acesso de entrada ao seu roteador até que você possa aplicar a atualização. Observe que apenas impedir conexões HTTP ou HTTPS (tráfego baseado na web) não é suficiente. A ASUS avisa explicitamente que quaisquer solicitações de rede recebidas podem ser abusadas, portanto, mesmo o encaminhamento de porta (por exemplo, para jogos) e o acesso VPN precisam ser bloqueados completamente.
- Se você é um programador, limpe suas entradas (para evitar bugs de injeção de comando e estouros de memória), não espere meses ou anos para enviar patches para bugs de alta pontuação para seus clientes e revise seus cabeçalhos HTTP para garantir que você está usando as opções mais seguras possíveis ao trocar dados críticos, como tokens de autenticação.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- Capaz
- Sobre
- acima
- absoluto
- Acesso
- acessível
- Alcançar
- atos
- administrativo
- consultivo
- Depois de
- Idade
- Todos os Produtos
- juntamente
- já
- tb
- sempre
- an
- e
- qualquer
- Apple
- Aplicar
- SOMOS
- argumentos
- por aí
- AS
- assumiu
- At
- ataque
- Ataques
- autenticado
- Autenticação
- autor
- auto
- evitar
- consciente
- em caminho duplo
- background-image
- base
- BE
- Porque
- sido
- antes
- abaixo
- cegamente
- Bloquear
- bloqueado
- fronteira
- Inferior
- navegador
- Bug
- erros
- ocupado
- mas a
- by
- CAN
- Cartões
- causado
- Centralização de
- certificado
- personagem
- caracteres
- a verificação
- cliente
- código
- cor
- como
- Empresa
- Empresa
- comparativamente
- componente
- computador
- da conexão
- Coneções
- contém
- ao controle
- controlado
- convertido
- conversão
- bolinhos
- copiando
- Corrupção
- poderia
- Para
- cobrir
- Credenciais
- crítico
- Clientes
- cve
- dados,
- dDNS
- Denial of Service
- dispositivo
- Dispositivos/Instrumentos
- diretamente
- diretamente
- divulgação
- Ecrã
- perturbe
- do
- Não faz
- domínio
- não
- DOS
- down
- dois
- e
- mais fácil
- facilmente
- fácil
- ou
- Eletrônicos
- suficiente
- garantir
- especialmente
- Mesmo
- SEMPRE
- exemplo
- trocando
- executar
- execução
- espera
- Explicação
- explicado
- Explorar
- façanhas
- exposto
- fato
- Figura
- Envie o
- Encontre
- Primeiro nome
- seguido
- Escolha
- forjado
- formulário
- formas
- fraudulento
- da
- cheio
- funcionalidade
- fundamental
- Games
- ter
- OFERTE
- dado
- dá
- gráficos
- manipular
- Manipulação
- Ter
- cabeçalhos
- altura
- HEX
- Alta
- hijack
- Buracos
- Início
- pairar
- http
- HTTPS
- identificado
- if
- in
- incluir
- inclui
- Entrada
- INFORMAÇÕES
- inputs
- em vez disso
- para dentro
- envolvido
- IP
- emitem
- Emissão
- IT
- ESTÁ
- se
- Trabalho
- apenas por
- Saber
- conhecido
- Falta
- laptops
- conduzir
- esquerda
- legítimo
- Alavancagem
- Biblioteca
- como
- Line
- LINK
- Lista
- registrado
- logging
- entrar
- longo
- muito tempo
- mágica
- fabricante
- muitos
- Margem
- marca
- correspondente
- Importância
- max-width
- significar
- significado
- significa
- Memória
- mencionado
- poder
- mês
- a maioria
- MONTE
- muito
- devo
- Segurança nua
- você merece...
- necessário
- Cria
- Nem
- rede
- Dados de rede
- networking
- notícias
- nist
- não
- normal
- notável
- agora
- número
- of
- WOW!
- oficial
- frequentemente
- Velho
- on
- uma vez
- ONE
- open source
- operando
- sistema operativo
- Opções
- or
- original
- Outros
- Fora
- Acima de
- pacotes
- parâmetro
- parte
- particular
- Senha
- Remendo
- Patches
- Paul
- por cento
- Realizar
- possivelmente
- pessoa
- telefones
- Lugar
- Avião
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- posição
- possível
- POSTAGENS
- potencial
- evitar
- impedindo
- política de privacidade
- privilégios
- provavelmente
- processo
- Produtos
- Agenda
- Programador
- protocolo
- fornecer
- fornece
- público
- publicado
- questão
- mais rápido
- alcance
- variando
- classificação
- Cru
- Leia
- razões
- recebido
- registro
- a que se refere
- relativo
- liberado
- remoto
- acesso remoto
- Relatórios
- representado
- solicitar
- pedidos
- requerer
- rever
- certo
- roteador
- corrida
- s
- mesmo
- dizer
- Ponto
- Segundo
- seguro
- segurança
- enviar
- envio
- envia
- sensível
- enviei
- separado
- Seqüência
- Série
- Servidores
- serviço
- Serviços
- Sessão
- conjunto
- NAVIO
- rede de apoio social
- Shuts
- lado
- assinar
- semelhante
- simplesmente
- solteiro
- So
- Software
- sólido
- alguns
- Alguém
- em breve
- Espaço
- espaços
- especial
- fica
- começo
- transmitir canais
- bem sucedido
- tal
- ajuda
- SVG
- .
- Tire
- conta
- que
- A
- deles
- Eles
- si mesmos
- então
- Este
- deles
- isto
- tempo
- para
- Tokens
- também
- levou
- topo
- tráfego
- transição
- transparente
- desencadear
- tentar
- dois
- até
- não desejado
- Atualizar
- URL
- us
- usar
- usava
- Utilizador
- usos
- utilização
- validação
- via
- VPN
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- esperar
- Esperando
- Acordar
- queremos
- Avisa
- Caminho..
- we
- web
- servidor web
- Web-Based
- semana
- bem conhecido
- quando
- sempre que
- qual
- QUEM
- inteiro
- Largo
- Ampla variedade
- largura
- Selvagem
- disposto
- de
- sem
- palavras
- seria
- escrever
- escrito
- Errado
- anos
- Vocês
- investimentos
- você mesmo
- zefirnet