ASUS — известный производитель популярной электроники, от ноутбуков и телефонов до домашних маршрутизаторов и видеокарт.
На этой неделе компания опубликовала обновления прошивки для широкого спектра домашних маршрутизаторов, а также сильное предупреждение что если вы не хотите или не можете обновить прошивку прямо сейчас, вам необходимо:
[Отключить] службы, доступные со стороны WAN, чтобы избежать возможных нежелательных вторжений. Эти услуги включают удаленный доступ из глобальной сети, переадресацию портов, DDNS, VPN-сервер, DMZ, триггер порта.
Мы предполагаем, что ASUS ожидает, что потенциальные злоумышленники займутся проверкой незащищенных устройств после того, как был опубликован длинный список исправлений ошибок.
(Конечно, хорошо информированные злоумышленники могли уже знать о некоторых, многих или обо всех этих дырах, но нам неизвестны какие-либо эксплойты нулевого дня в дикой природе.)
Как мы уже указывали ранее в Naked Security, эксплойты часто гораздо легче обнаружить, если у вас есть указатели, указывающие, где искать…
…так же, как гораздо быстрее и проще найти иголку в стоге сена, если кто-то скажет вам, в каком тюке она находится, прежде чем вы начнете.
Делай, как мы говорим, а не как мы.
Возможно, клиентов ASUS раздражает то, что две из уже исправленных уязвимостей долгое время ждали исправления.
Оба они имеют «оценку опасности» 9.8/10 и КРИТИЧЕСКИЙ рейтинг в NVD США, или Национальная база данных уязвимостей (сообщения, перефразированные нами):
- CVE-2022-26376. Повреждение памяти в функции httpd unescape. Специально созданный HTTP-запрос может привести к повреждению памяти. Злоумышленник может отправить сетевой запрос, чтобы активировать эту уязвимость. (Базовая оценка: 9.8 КРИТИЧЕСКИЙ.)
- CVE-2018-1160. Netatalk до версии 3.1.12 [выпущена 2018 декабря 12 г.] уязвим для записи за пределы допустимого диапазона. Это связано с отсутствием проверки границ данных, контролируемых злоумышленником. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для выполнения произвольного кода. (Базовая оценка: 9.8 КРИТИЧЕСКИЙ.)
Объяснять.
Сетевой обмен — это программный компонент, обеспечивающий поддержку сети в стиле Apple, но это не означает, что злоумышленнику потребуется использовать компьютер Macintosh или программное обеспечение Apple, чтобы вызвать ошибку.
На самом деле, учитывая, что для успешного эксплойта потребуются преднамеренно искаженные сетевые данные, законное клиентское программное обеспечение Netatalk, вероятно, в любом случае не справится с этой задачей, поэтому злоумышленник будет использовать специально созданный код и теоретически может организовать атаку из любой операционной системы на любом компьютере. с подключением к сети.
HTTP убегать и не убегать необходим всякий раз, когда URL-адрес включает символ данных, который не может быть напрямую представлен в тексте URL-адреса.
Например, URL-адреса не могут включать пробелы (чтобы гарантировать, что они всегда образуют один непрерывный фрагмент печатного текста), поэтому, если вы хотите сослаться на имя пользователя или файл, содержащий пробел, вам нужно бежать символ пробела путем преобразования его в знак процента, за которым следует его код ASCII в шестнадцатеричном формате (0x20 или 32 в десятичном формате).
Точно так же, поскольку это придает особое значение самому символу процента, он также должен быть записан как знак процента (%
), за которым следует его код ASCII (0x25 в шестнадцатеричном формате или 37 в десятичном), как и другие символы, используемые в URL-адресах, например двоеточие (:
), косая черта (/
), вопросительный знак (?
) и амперсанд (&
).
После получения веб-сервером (программой, называемой httpd
в приведенной выше информации CVE), любые экранированные символы неэкранированный путем преобразования их обратно из их форм с процентным кодированием в исходные текстовые символы.
Почему ASUS потребовалось так много времени для исправления этих конкретных ошибок, не упоминается в официальном бюллетене компании, но обработка «управляющих кодов» HTTP является фундаментальной частью любого программного обеспечения, которое прослушивает и использует веб-URL.
Исправлены другие ошибки из списка CVE.
- CVE-2022-35401. Обход аутентификации. Специально созданный HTTP-запрос может привести к полному административному доступу к устройству. Злоумышленнику потребуется отправить серию HTTP-запросов, чтобы воспользоваться этой уязвимостью. (Базовая оценка: 8.1 ВЫСОКИЙ.)
- CVE-2022-38105. Раскрытие информации. Специально созданные сетевые пакеты могут привести к раскрытию конфиденциальной информации. Злоумышленник может отправить сетевой запрос, чтобы активировать эту уязвимость. (Базовая оценка: 7.5 ВЫСОКИЙ.)
- CVE-2022-38393. Отказ в обслуживании (DoS). Специально созданный сетевой пакет может привести к отказу в обслуживании. Злоумышленник может отправить вредоносный пакет, чтобы активировать эту уязвимость. (Базовая оценка: 7.5 ВЫСОКИЙ.)
- CVE-2022-46871. Потенциально эксплуатируемые ошибки в open-source
libusrsctp
библиотека. SCTP означает протокол передачи управления потоком. (Базовая оценка: 8.8 ВЫСОКИЙ.) - CVE-2023-28702. Нефильтрованные специальные символы в URL-адресах. Удаленный злоумышленник с обычными привилегиями пользователя может использовать эту уязвимость для выполнения атак с внедрением команд для выполнения произвольных системных команд, нарушения работы системы или прекращения обслуживания. (Базовая оценка: 8.8 ВЫСОКИЙ.)
- CVE-2023-28703. Переполнение буфера. Удаленный злоумышленник с правами администратора может использовать эту уязвимость для выполнения произвольных системных команд, нарушения работы системы или прекращения обслуживания. (Базовая оценка: 7.2 ВЫСОКИЙ.)
- CVE-2023-31195. Перехват сеанса. Чувствительные файлы cookie, используемые без
Secure
набор атрибутов. Злоумышленник может использовать поддельную веб-ссылку HTTP (незашифрованную) для захвата токенов аутентификации, которые не должны передаваться в незашифрованном виде. (БЕЗ ОЦЕНКИ.)
Возможно, самая заметная ошибка в этом списке CVE-2023-28702, атака с внедрением команд, похожая на Ошибки MOVEit что было во всех новостях в последнее время.
Как мы объяснили после ошибки MOVEit, параметр команды sa, который отправляется в веб-URL, например, запрос с просьбой к серверу начать регистрацию вас как пользователя. DUCK
, нельзя напрямую передать команде системного уровня, слепо и доверчиво скопировав необработанный текст из URL-адреса.
Другими словами, запрос:
https://example.com/?user=DUCK
…нельзя просто преобразовать с помощью прямого процесса «копировать и вставить» в системную команду, такую как:
checkuser --name=утка
В противном случае злоумышленник может попытаться войти в систему как:
https://example.com/?user=DUCK;halt
… и обмануть систему, запустив команду:
checkuser --name=утка;остановить
…что аналогично последовательному выполнению двух отдельных команд ниже:
checkuser --name=Утка останавливается
…где команда во второй строке выключает весь сервер.
(Точка с запятой действует как разделитель команд, а не как часть аргументов командной строки.)
Угон сеанса
Другой тревожной ошибкой является проблема перехвата сеанса, вызванная CVE-2023-31195.
Как вы, вероятно, знаете, серверы часто обрабатывают веб-логины, отправляя так называемые сеансовые файлы cookie в ваш браузер, чтобы обозначить, что «кто знает этот файл cookie, считается тем же человеком, который только что вошел в систему».
Пока сервер не выдает вам один из этих волшебных файлов cookie до тех пор, пока вы не идентифицируете себя, например, предоставив имя пользователя, соответствующий пароль и действительный код 2FA, злоумышленнику необходимо будет знать ваши учетные данные для входа в систему, чтобы получить аутентификацию, как вы в первую очередь.
И пока ни сервер, ни ваш браузер никогда случайно не отправят волшебный файл cookie через не-TLS, незашифрованное, простое старое HTTP-соединение, злоумышленник не сможет легко заманить ваш браузер на сервер-самозванец, который вместо этого использует HTTP. HTTPS и, таким образом, считывать cookie из перехваченного веб-запроса.
Помните, что заманивание вашего браузера на самозваный домен, такой как http://example.com/
сравнительно легко, если мошенник может временно обмануть ваш браузер, заставив его использовать неправильный IP-номер для example.com
домена.
Но соблазнить вас https:/example.com/
Это означает, что злоумышленнику также необходимо убедительно подделать веб-сертификат, чтобы обеспечить мошенническую проверку сервера, что гораздо сложнее сделать.
Чтобы предотвратить такого рода атаки, файлы cookie, которые не являются общедоступными (либо из соображений конфиденциальности, либо из соображений контроля доступа), должны быть помечены. Secure
в заголовке HTTP, который передается, когда они установлены, например:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Безопасный
…вместо простого:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Что делать?
- Если у вас есть уязвимый маршрутизатор ASUS (список есть здесь), исправьте, как только сможете. Тот факт, что ASUS оставила для вас исправления на долгие годы, не означает, что вы можете применять их сколько угодно долго, особенно теперь, когда связанные с этим ошибки являются общедоступными.
- Если вы не можете исправить сразу, заблокируйте весь входящий доступ к вашему маршрутизатору, пока вы не сможете применить обновление. Обратите внимание, что просто запретить соединения HTTP или HTTPS (веб-трафик) недостаточно. ASUS прямо предупреждает, что любые входящие сетевые запросы могут быть использованы не по назначению, поэтому даже переадресация портов (например, для игр) и доступ к VPN должны быть полностью заблокированы.
- Если вы программист, очищайте свои входные данные (чтобы избежать ошибок внедрения команд и переполнения памяти), не ждите месяцы или годы, чтобы отправить исправления для ошибок с высокой оценкой своим клиентам, и проверяйте свои HTTP-заголовки, чтобы убедиться, что вы используете самые безопасные варианты. при обмене важными данными, такими как токены аутентификации.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- в состоянии
- О нас
- выше
- Absolute
- доступ
- доступной
- Достигать
- акты
- административный
- консультативный
- После
- Века
- Все
- вдоль
- уже
- причислены
- всегда
- an
- и
- любой
- Apple
- Применить
- МЫ
- Аргументы
- около
- AS
- предполагается,
- At
- атаковать
- нападки
- подлинности
- Аутентификация
- автор
- автоматический
- избежать
- знать
- назад
- Фоновое изображение
- Использование темпера с изогнутым основанием
- BE
- , так как:
- было
- до
- ниже
- слепо
- Заблокировать
- заблокировал
- граница
- Дно
- браузер
- Ошибка
- ошибки
- занятый
- но
- by
- CAN
- Карты
- вызванный
- Центр
- сертификат
- персонаж
- символы
- контроль
- клиент
- код
- цвет
- как
- Компания
- Компании
- сравнительно
- компонент
- компьютер
- связи
- Коммутация
- содержит
- контроль
- контроль
- переделанный
- преобразование
- печенье
- копирование
- коррупция
- может
- "Курс"
- чехол для варгана
- Полномочия
- критической
- Клиенты
- CVE
- данным
- дДНС
- Отказ в обслуживании
- устройство
- Устройства
- направлять
- непосредственно
- раскрытие
- Дисплей
- срывать
- do
- не
- домен
- Dont
- DOS
- вниз
- два
- e
- легче
- легко
- легко
- или
- Electronics
- достаточно
- обеспечивать
- особенно
- Даже
- НИКОГДА
- пример
- обмена
- выполнять
- выполнение
- надеется
- Объяснять
- объяснены
- Эксплуатировать
- использует
- подвергаться
- факт
- фигура
- Файл
- Найдите
- Во-первых,
- следует
- Что касается
- кованый
- форма
- формы
- и мошенническими
- от
- полный
- функциональность
- фундаментальный
- Игры
- получить
- Дайте
- данный
- дает
- графика
- обрабатывать
- Управляемость
- Есть
- Заголовки
- высота
- HEX
- High
- похищать
- Отверстия
- Главная
- зависать
- HTTP
- HTTPS
- идентифицированный
- if
- in
- включают
- включает в себя
- Входящий
- информация
- затраты
- вместо
- в
- вовлеченный
- IP
- вопрос
- эмиссионный
- IT
- ЕГО
- саму трезвость
- работа
- всего
- Знать
- известный
- Отсутствие
- ноутбуки
- вести
- оставил
- законный
- Кредитное плечо
- Библиотека
- такое как
- линия
- LINK
- Список
- Войти
- каротаж
- Войти
- Длинное
- много времени
- магия
- производитель
- многих
- Маржа
- отметка
- согласование
- Вопрос
- макс-ширина
- значить
- смысл
- означает
- Память
- упомянутый
- может быть
- месяцев
- самых
- ГОРУ
- много
- должен
- Голая Безопасность
- Необходимость
- необходимый
- потребности
- ни
- сеть
- Сетевые данные
- сетей
- Новости
- NIST
- нет
- "обычные"
- примечательный
- сейчас
- номер
- of
- от
- Официальный представитель в Грузии
- .
- Старый
- on
- консолидировать
- ONE
- с открытым исходным кодом
- операционный
- операционная система
- Опции
- or
- оригинал
- Другое
- внешний
- за
- пакеты
- параметр
- часть
- особый
- Пароль
- Патчи
- Патчи
- Пол
- процент
- Выполнять
- возможно
- человек
- телефоны
- Часть
- одноцветный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- должность
- возможное
- Блог
- потенциал
- предотвращать
- предупреждение
- политикой конфиденциальности.
- привилегии
- вероятно
- процесс
- Продукция
- FitPartner™
- Программист
- протокол
- обеспечивать
- приводит
- что такое варган?
- опубликованный
- вопрос
- быстрее
- ассортимент
- ранжирование
- рейтинг
- Сырье
- Читать
- причины
- получила
- запись
- назвало
- относительный
- выпустил
- удаленные
- удаленный доступ
- Отчеты
- представленный
- запросить
- Запросы
- требовать
- обзоре
- правую
- маршрутизатор
- Бег
- s
- то же
- сообщили
- Гол
- Во-вторых
- безопасный
- безопасность
- Отправить
- отправка
- посылает
- чувствительный
- послать
- отдельный
- Последовательность
- Серии
- Серверы
- обслуживание
- Услуги
- Сессия
- набор
- КОРАБЛЬ
- должен
- Завершает
- сторона
- подпись
- аналогичный
- просто
- одинарной
- So
- Software
- твердый
- некоторые
- Кто-то
- скоро
- Space
- пространства
- особый
- стоит
- Начало
- поток
- успешный
- такие
- поддержка
- SVG
- система
- взять
- говорит
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Эти
- они
- этой
- время
- в
- Лексемы
- слишком
- приняли
- топ
- трафик
- переход
- прозрачный
- вызвать
- стараться
- два
- до
- нежелательный
- Обновление ПО
- URL
- us
- использование
- используемый
- Информация о пользователе
- использования
- через
- Проверка
- с помощью
- VPN
- Уязвимости
- уязвимость
- Уязвимый
- ждать
- Ожидание
- Услуга
- хотеть
- предупреждает
- Путь..
- we
- Web
- веб-сервер
- Web-Based
- неделя
- известный
- когда
- когда бы ни
- , которые
- КТО
- все
- широкий
- Широкий диапазон
- ширина
- Дикий
- готовый
- без
- слова
- бы
- записывать
- письменный
- Неправильно
- лет
- Ты
- ВАШЕ
- себя
- зефирнет