Как сканировать вашу среду на наличие уязвимых версий Curl

Командам безопасности не нужно переходить в кризисный режим, чтобы решить проблему. недавно исправлены уязвимости в инструменте командной строки Curl и библиотеке libcurl., но это не значит, что им не нужно беспокоиться об выявлении и исправлении уязвимых систем. Если системы не могут быть немедленно использованы для взлома, у групп безопасности есть время для внесения этих обновлений.

В этом техническом совете собраны рекомендации о том, что следует делать командам безопасности, чтобы гарантировать, что они не подвергаются риску.

cURL — основной сетевой инструмент для систем Unix и Linux. Он используется в командных строках и сценариях для передачи данных. Его распространенность обусловлена ​​тем, что он используется как отдельная утилита (curl), так и как библиотека, включаемая во множество различных типов приложений (libcurl). Библиотека libcurl, которая позволяет разработчикам получать доступ к API-интерфейсам Curl из их собственного кода, может быть введена непосредственно в код, использована в качестве зависимости, использована как часть пакета операционной системы, включена как часть контейнера Docker или установлена ​​на Узел кластера Kubernetes.

Что такое CVE-2023-38545?

Уязвимость высокой степени серьезности влияет на Curl и libcurl версии с 7.69.0 по 8.3.0, а уязвимость низкой степени серьезности затрагивает версии libcurl с 7.9.1 по 8.3.0. Однако уязвимости не могут быть использованы в условиях по умолчанию. Злоумышленнику, пытающемуся вызвать уязвимость, необходимо будет указать Curl на вредоносный сервер, находящийся под контролем злоумышленника, убедиться, что Curl использует прокси-сервер SOCKS5 в режиме прокси-резольвера, настроить Curl на автоматическое следование перенаправлениям и установить меньший размер буфера. размер.

По Яир Мизрахи, старшему исследователю безопасности в JFrog, библиотека libcurl уязвима только если установлены следующие переменные среды: CURLOPT_PROXYTYPE  установить для типа CURLPROXY_SOCKS5_HOSTNAME; или CURLOPT_PROXY or CURLOPT_PRE_PROXY  установить на схему носки5ч://. Библиотека также уязвима, если одна из переменных среды прокси настроена на использование носки5ч:// схема. Инструмент командной строки уязвим, только если он запускается с помощью команды -socks5-имя хоста флаг, или с –прокси (-х) или –препрокси настроен на использование схемы носки5ч://. Он также уязвим, если Curl выполняется с затронутыми переменными среды.

«Набор предварительных условий, необходимых для того, чтобы машина была уязвимой (см. предыдущий раздел), более строгий, чем первоначально предполагалось. Поэтому мы считаем, что подавляющее большинство пользователей Curl не затронет эта уязвимость», — написал Мизрахи в анализе.

Сканируйте среду на наличие уязвимых систем

Первое, что необходимо сделать организациям, — это оценить свою среду, чтобы идентифицировать все системы, использующие Curl и libcurl, чтобы оценить, существуют ли эти предварительные условия. Организациям следует провести инвентаризацию своих систем и оценить процессы доставки программного обеспечения, используя инструменты анализа состава программного обеспечения для кода, сканирования контейнеров и утилиты управления состоянием безопасности приложений, отмечает Алекс Ильгаев, руководитель отдела исследований безопасности Cycode. Несмотря на то, что уязвимость затрагивает не все реализации Curl, было бы легче идентифицировать затронутые системы, если бы команда начала со списка потенциальных мест для поиска.

Следующие команды определяют, какие версии Curl установлены:

Linux / MacOS:

find / -name curl 2>/dev/null -exec echo "Найдено: {}" ; -exec {} --версия;

Windows:

Get-ChildItem -Path C: -Recurse -ErrorAction SillyContinue -Filter Curl.exe | ForEach-Object { Write-Host "Найдено: $($_.FullName)"; & $_.FullName --version }

На GitHub есть запрос для запуска в Защитнике для конечной точки для идентификации всех устройств в среде, на которых установлен или используется Curl. Qualys опубликовала свои правила за использование его платформы.

Организациям, использующим контейнеры Docker или другие контейнерные технологии, также следует сканировать образы на наличие уязвимых версий. Ожидается значительное количество перестроек, особенно в образах докеров и подобных объектах, которые включают копии liburl. Докер собрался вместе список инструкций при оценке всех изображений.

Чтобы найти существующие репозитории:

включить репозиторий docker scout --org /scout-демо

Чтобы проанализировать образы локальных контейнеров:

политика Docker Scout [ИЗОБРАЖЕНИЕ] --org [ORG]

По мнению Хенрика Плейта, исследователя безопасности из Endor Labs, эта проблема подчеркивает важность тщательного отслеживания всего программного обеспечения с открытым исходным кодом, используемого в организации.

«Знание обо всех способах использования Curl и libcurl является необходимым условием для оценки фактического риска и принятия мер по устранению последствий, будь то исправление Curl, ограничение доступа к затронутым системам из ненадежных сетей или реализация других контрмер», — сказал Плейт.

«Если к приложению прилагается спецификация программного обеспечения, это будет хорошей отправной точкой для поиска экземпляров Curl», — добавляет Джон Галлахер, вице-президент Viakoo Labs.

Тот факт, что недостатки невозможно использовать, не означает, что обновления не нужны. Патчи доступны непосредственно для Curl и libcurl, и многие операционные системы (Debian, Ubuntu, Red Hat и т. д.) также имеют фиксированные версии. Следите за обновлениями безопасности других приложений, поскольку libcurl — это библиотека, используемая многими операционными системами и приложениями.

По словам Мизрахи из JFrog, одним из обходных путей, пока обновления не будут развернуты, является заставить Curl использовать локальное разрешение имени хоста при подключении к прокси-серверу SOCKS5. Этот синтаксис использует схемуocks5, а неsocks5h: локон -x носки5://someproxy.com. В библиотеке замените переменную среды CURLPROXY_SOCKS5_HOSTNAME   CURLPROXY_SOCKS5.

По словам Бенджамина Марра, инженера по безопасности в Нарушитель, группам безопасности следует отслеживать флаги Curl на наличие слишком больших строк, поскольку это может указывать на взлом системы. Флаги –socks5-имя хостаили –прокси or –препрокси настроен на использование схемы носки5ч://.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl