ASUS este un producător binecunoscut de produse electronice populare, de la laptopuri și telefoane până la routere de acasă și plăci grafice.
Săptămâna aceasta, compania a publicat actualizări firmware pentru o gamă largă de routere de acasă, împreună cu un avertisment puternic că, dacă nu dorești sau nu poți să actualizezi firmware-ul chiar acum, atunci trebuie să:
[Dezactivați] servicii accesibile din partea WAN pentru a evita potențialele intruziuni nedorite. Aceste servicii includ acces la distanță de la WAN, redirecționare porturi, DDNS, server VPN, DMZ, declanșare port.
Bănuim că ASUS se așteaptă ca potențialii atacatori să se ocupe de sondarea dispozitivelor expuse acum că a fost publicată o listă lungă de remedieri de erori.
(Desigur, atacatorii bine informați s-ar putea să fi știut deja despre unele, multe sau toate aceste găuri, dar nu suntem conștienți de vreo exploatare zero-day în sălbăticie.)
După cum am subliniat mai devreme pe Naked Security, exploatările sunt adesea mult mai ușor de înțeles dacă aveți indicatoare care vă spun unde să căutați...
… în același mod în care este mult mai rapid și mai ușor să găsești un ac într-un car de fân dacă cineva îți spune în ce balot este înainte de a începe.
Fă cum spunem, nu cum facem.
În mod enervant pentru clienții ASUS, probabil, două dintre vulnerabilitățile corectate acum au existat de mult timp care așteaptă să fie corectate.
Ambele au un „scor de pericol” de 9.8/10 și o evaluare CRITICĂ în NVD din SUA sau Baza de date națională a vulnerabilităților (rapoarte parafrazate de noi):
- CVE-2022-26376. Coruperea memoriei în funcționalitatea httpd unescape. O solicitare HTTP special concepută poate duce la coruperea memoriei. Un atacator poate trimite o solicitare de rețea pentru a declanșa această vulnerabilitate. (Scor de bază: 9.8 CRITIC.)
- CVE-2018-1160. Netatalk înainte de 3.1.12 [lansat 2018-12-20] vulnerabil la o scriere în afara limitelor. Acest lucru se datorează lipsei de verificare a limitelor datelor controlate de atacator. Un atacator de la distanță neautentificat poate valorifica această vulnerabilitate pentru a realiza execuția de cod arbitrară. (Scor de bază: 9.8 CRITIC.)
A explica.
netalk este o componentă software care oferă suport pentru rețele în stil Apple, dar asta nu înseamnă că un atacator ar trebui să folosească un computer Macintosh sau software Apple pentru a declanșa eroarea.
De fapt, având în vedere că o exploatare de succes ar necesita date de rețea deliberate malformate, software-ul client Netatalk legitim probabil că oricum nu ar face treaba, așa că un atacator ar folosi cod creat personalizat și ar putea teoretic să lanseze un atac de la orice sistem de operare pe orice computer. cu o conexiune la rețea.
HTTP scăpare și nescapat este necesar ori de câte ori o adresă URL include un caracter de date care nu poate fi reprezentat direct în textul adresei URL.
De exemplu, adresele URL nu pot include spații (pentru a vă asigura că formează întotdeauna o singură porțiune adiacentă de text imprimabil), așa că dacă doriți să faceți referire la un nume de utilizator sau un fișier care conține un spațiu, trebuie să scăpa caracterul spațiu, transformându-l într-un semn de procent, urmat de codul său ASCII în hexazecimal (0x20 sau 32 în zecimal).
În mod similar, deoarece aceasta dă o semnificație specială caracterului procentual însuși, și acesta trebuie scris ca semn de procente (%
) urmată de codul său ASCII (0x25 în hex sau 37 în zecimal), la fel ca și alte caractere utilizate în mod distinctiv în adrese URL, cum ar fi două puncte (:
), bară oblică (/
), semnul întrebării (?
) și ampersand (&
).
Odată primit de un server web (programul denumit httpd
în informațiile CVE de mai sus), orice caractere escape sunt nescapat prin conversia lor înapoi din formele lor codificate procentual în caracterele textului original.
De ce ASUS a durat atât de mult să corecteze aceste erori specifice nu este menționat în avizul oficial al companiei, dar gestionarea „codurilor de evacuare” HTTP este o parte fundamentală a oricărui software care ascultă și utilizează URL-uri web.
Alte erori listate în CVE au fost corectate
- CVE-2022-35401. Bypass de autentificare. O solicitare HTTP special concepută poate duce la acces administrativ complet la dispozitiv. Un atacator ar trebui să trimită o serie de solicitări HTTP pentru a exploata această vulnerabilitate. (Scor de bază: 8.1 MARE.)
- CVE-2022-38105. Dezvaluirea informatiei. Pachetele de rețea special concepute pot duce la dezvăluirea de informații sensibile. Un atacator poate trimite o solicitare de rețea pentru a declanșa această vulnerabilitate. (Scor de bază: 7.5 MARE.)
- CVE-2022-38393. Refuzarea serviciului (DoS). Un pachet de rețea special conceput poate duce la refuzul serviciului. Un atacator poate trimite un pachet rău intenționat pentru a declanșa această vulnerabilitate. (Scor de bază: 7.5 MARE.)
- CVE-2022-46871. Bug-uri potențial exploatabile în open-source
libusrsctp
bibliotecă. SCTP înseamnă Stream Control Transmission Protocol. (Scor de bază: 8.8 MARE.) - CVE-2023-28702. Caractere speciale nefiltrate în adrese URL. Un atacator de la distanță cu privilegii normale de utilizator poate exploata această vulnerabilitate pentru a efectua atacuri de injectare de comandă pentru a executa comenzi arbitrare ale sistemului, a perturba sistemul sau a opri serviciul. (Scor de bază: 8.8 MARE.)
- CVE-2023-28703. Debordare tampon. Un atacator de la distanță cu privilegii de administrator poate exploata această vulnerabilitate pentru a executa comenzi arbitrare ale sistemului, a întrerupe sistemul sau a opri serviciul. (Scor de bază: 7.2 MARE.)
- CVE-2023-31195. Deturnarea sesiunii. Cookie-uri sensibile utilizate fără
Secure
set de atribute. Un atacator ar putea folosi o legătură web falsă HTTP (necriptată) pentru a deturna jetoanele de autentificare care nu ar trebui să fie transmise necriptate. (NICIUN SCOR.)
Poate cea mai notabilă eroare din această listă este CVE-2023-28702, un atac cu injecție de comandă care sună similar cu erori MOVEit care au fost peste tot în știri în ultima vreme.
După cum am explicat în urma erorii MOVEit, un parametru de comandă care este trimis într-o adresă URL web, de exemplu o solicitare prin care se cere serverului să înceapă să vă conecteze ca utilizator. DUCK
, nu poate fi transmis direct unei comenzi la nivel de sistem prin copierea orbește și cu încredere a textului brut de la adresa URL.
Cu alte cuvinte, cererea:
https://example.com/?user=DUCK
... nu poate fi pur și simplu convertit printr-un proces direct de „copiere și lipire” într-o comandă de sistem, cum ar fi:
checkuser --name=RATĂ
În caz contrar, un atacator ar putea încerca să se conecteze ca:
https://example.com/?user=DUCK;halt
... și păcăliți sistemul să ruleze comanda:
checkuser --name=RATĂ;oprire
… ceea ce este același cu emiterea celor două comenzi separate de mai jos, în secvență:
checkuser --name=duck stop
…unde comanda de pe a doua linie oprește întregul server.
(Punctul și virgulă acționează ca un separator de comandă, nu ca parte a argumentelor liniei de comandă.)
Deturnarea sesiunii
Un alt bug îngrijorător este problema deturnării sesiunii cauzată de CVE-2023-31195.
După cum probabil știți, serverele se ocupă adesea de autentificări pe web, trimițând un așa-numit cookie de sesiune către browser-ul dvs. pentru a indica faptul că „cine cunoaște acest cookie se presupune că este aceeași persoană care tocmai s-a conectat”.
Atâta timp cât serverul nu îți oferă unul dintre aceste cookie-uri magice decât după ce te-ai identificat, de exemplu, prezentând un nume de utilizator, o parolă potrivită și un cod 2FA valid, atunci un atacator ar trebui să știe datele tale de conectare pentru a autentificați-vă ca dvs. în primul rând.
Și atâta timp cât nici serverul, nici browserul dvs. nu trimit vreodată accidental cookie-ul magic printr-o conexiune HTTP veche, necriptată și non-TLS, atunci un atacator nu va putea cu ușurință să atragă browserul dvs. la un server impostor care folosește HTTP în schimb. de HTTPS și, astfel, pentru a citi cookie-ul din cererea web interceptată.
Amintiți-vă că atrage browserul dvs. către un domeniu impostor, cum ar fi http://example.com/
este relativ ușor dacă un escroc vă poate păcăli temporar browserul să folosească un număr IP greșit pentru example.com
domeniu.
Dar ademenindu-te https:/example.com/
înseamnă că atacatorul trebuie, de asemenea, să vină cu un certificat web falsificat în mod convingător, pentru a oferi validare frauduloasă a serverului, ceea ce este mult mai greu de făcut.
Pentru a preveni acest tip de atac, cookie-urile care nu sunt publice (fie din motive de confidențialitate sau de control al accesului) ar trebui să fie etichetate Secure
în antetul HTTP care este transmis când sunt setate, astfel:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Sigur
… în loc de simplu:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Ce să fac?
- Dacă aveți un router ASUS afectat (lista este aici), plasture cât mai curând posibil. Doar pentru că ASUS a lăsat-o pentru o mulțime de ani să vă aducă patch-urile nu înseamnă că puteți dura atât timp cât doriți să le aplicați, mai ales acum că erorile implicate sunt o problemă publică.
- Dacă nu puteți patch-uri imediat, blocați toate accesul de intrare la router până când puteți aplica actualizarea. Rețineți că doar împiedicarea conexiunilor HTTP sau HTTPS (trafic bazat pe web) nu este suficientă. ASUS avertizează în mod explicit că orice solicitare de rețea primită ar putea fi abuzată, așa că chiar și redirecționarea portului (de exemplu, pentru jocuri) și accesul VPN trebuie blocate definitiv.
- Dacă ești programator, igienizați-vă intrările (pentru a evita erorile de injectare a comenzilor și depășirile de memorie), nu așteptați luni sau ani pentru a expedia clienților patch-uri pentru erorile cu scoruri ridicate și revizuiți anteturile HTTP pentru a vă asigura că utilizați cele mai sigure opțiuni posibile la schimbul de date critice, cum ar fi jetoanele de autentificare.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
- Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- Capabil
- Despre Noi
- mai sus
- Absolut
- acces
- accesibil
- Obține
- Acte
- administrativ
- consultativ
- După
- Evul
- TOATE
- de-a lungul
- deja
- de asemenea
- mereu
- an
- și
- Orice
- Apple
- Aplică
- SUNT
- argumente
- în jurul
- AS
- asumat
- At
- ataca
- Atacuri
- autentificata
- Autentificare
- autor
- Auto
- evita
- conştient
- înapoi
- imagine de fundal
- de bază
- BE
- deoarece
- fost
- înainte
- de mai jos
- orbeşte
- Bloca
- blocat
- frontieră
- De jos
- browser-ul
- Bug
- gandaci
- ocupat
- dar
- by
- CAN
- Carduri
- cauzată
- Centru
- certificat
- caracter
- caractere
- control
- client
- cod
- culoare
- cum
- companie
- Compania
- comparativ
- component
- calculator
- conexiune
- Conexiuni
- conține
- Control
- controlată
- convertit
- de conversie a
- fursecuri
- copiere
- Corupţie
- ar putea
- Curs
- acoperi
- scrisori de acreditare
- critic
- clienţii care
- cve
- de date
- dDNS
- Denial of Service
- dispozitiv
- Dispozitive
- direcționa
- direct
- dezvăluire
- Afişa
- distruge
- do
- Nu
- domeniu
- Dont
- DOS
- jos
- două
- e
- mai ușor
- cu ușurință
- uşor
- oricare
- Componente electronice
- suficient de
- asigura
- mai ales
- Chiar
- EVER
- exemplu
- schimbând
- a executa
- execuție
- se așteaptă
- Explica
- a explicat
- Exploata
- exploit
- expus
- fapt
- Figura
- Fișier
- Găsi
- First
- a urmat
- Pentru
- fals
- formă
- formulare
- necinstit
- din
- Complet
- funcționalitate
- fundamental
- Jocuri
- obține
- Da
- dat
- oferă
- grafică
- manipula
- Manipularea
- Avea
- anteturile
- înălțime
- HEX
- Înalt
- hijack
- găuri
- Acasă
- planare
- http
- HTTPS
- identificat
- if
- in
- include
- include
- Intrare
- informații
- intrări
- in schimb
- în
- implicat
- IP
- problema
- emitent
- IT
- ESTE
- în sine
- Loc de munca
- doar
- Cunoaște
- cunoscut
- lipsă
- laptop-uri
- conduce
- stânga
- legitim
- Pârghie
- Bibliotecă
- ca
- Linie
- LINK
- Listă
- autentificat
- logare
- Logare
- Lung
- perioadă lungă de timp
- magie
- producător
- multe
- Margine
- marca
- potrivire
- materie
- max-width
- însemna
- sens
- mijloace
- Memorie
- menționat
- ar putea
- luni
- cele mai multe
- MOUNT
- mult
- trebuie sa
- Securitate goală
- Nevoie
- necesar
- nevoilor
- Nici
- reţea
- Date de rețea
- rețele
- ştiri
- nist
- Nu.
- normală.
- notabil
- acum
- număr
- of
- de pe
- oficial
- de multe ori
- Vechi
- on
- dată
- ONE
- open-source
- de operare
- sistem de operare
- Opţiuni
- or
- original
- Altele
- afară
- peste
- pachete
- parametru
- parte
- special
- Parolă
- Plasture
- Patch-uri
- Paul
- la sută
- Efectua
- poate
- persoană
- Telefoane
- Loc
- Simplu
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- poziţie
- posibil
- postări
- potenţial
- împiedica
- prevenirea
- intimitate
- privilegii
- probabil
- proces
- Produse
- Program
- Programator
- protocol
- furniza
- furnizează
- public
- publicat
- întrebare
- mai repede
- gamă
- variind
- evaluare
- Crud
- Citeste
- motive
- primit
- record
- menționat
- relativ
- eliberat
- la distanta
- acces de la distanță
- Rapoarte
- reprezentate
- solicita
- cereri de
- necesita
- revizuiască
- dreapta
- router
- funcţionare
- s
- acelaşi
- Spune
- scor
- Al doilea
- sigur
- securitate
- trimite
- trimitere
- trimite
- sensibil
- trimis
- distinct
- Secvenţă
- serie
- Servere
- serviciu
- Servicii
- sesiune
- set
- NAVA
- să
- închiderile
- parte
- semna
- asemănător
- pur şi simplu
- singur
- So
- Software
- solid
- unele
- Cineva
- curând
- Spaţiu
- spații
- special
- Standuri
- Începe
- curent
- de succes
- astfel de
- a sustine
- SVG
- sistem
- Lua
- spune
- acea
- lor
- Lor
- se
- apoi
- Acestea
- ei
- acest
- timp
- la
- indicativele
- de asemenea
- a luat
- top
- trafic
- tranziţie
- transparent
- declanşa
- încerca
- Două
- până la
- nedorit
- Actualizează
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizări
- folosind
- validare
- de
- VPN
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- aștepta
- Aşteptare
- Trezi
- vrea
- avertizează
- Cale..
- we
- web
- server de web
- bazat pe web
- săptămână
- bine cunoscut
- cand
- oricând
- care
- OMS
- întreg
- larg
- Gamă largă
- lățime
- Sălbatic
- dispus
- cu
- fără
- cuvinte
- ar
- scrie
- scris
- Greșit
- ani
- Tu
- Ta
- te
- zephyrnet