ASUS je znan proizvajalec priljubljenih elektronskih izdelkov, od prenosnikov in telefonov do domačih usmerjevalnikov in grafičnih kartic.
Ta teden je podjetje objavilo posodobitve vdelane programske opreme za široko paleto domačih usmerjevalnikov, skupaj z a močno opozorilo da če trenutno ne želite ali ne morete posodobiti vdelane programske opreme, morate:
[Onemogoči] storitve, dostopne s strani WAN, da se izognete morebitnim neželenim vdorom. Te storitve vključujejo oddaljeni dostop iz omrežja WAN, posredovanje vrat, DDNS, strežnik VPN, DMZ, sprožilec vrat.
Ugibamo, da ASUS pričakuje, da se bodo morebitni napadalci ukvarjali s preiskovanjem izpostavljenih naprav zdaj, ko je bil objavljen dolg seznam popravkov napak.
(Seveda so dobro obveščeni napadalci morda že vedeli za nekatere, številne ali vse te luknje, vendar ne poznamo nobenih izkoriščanj ničelnega dne v naravi.)
Kot smo že poudarili pri Naked Security, je izkoriščanja pogosto veliko lažje odkriti, če imate smerokaze, ki vam povejo, kje iskati ...
…na enak način, kot je veliko hitreje in lažje najti iglo v kupu sena, če ti nekdo pove, v kateri bali je, preden začneš.
Delajte tako, kot rečemo, ne kot mi.
Morda je za stranke ASUS moteče to, da dve od zdaj popravljenih ranljivosti že dolgo čakata na popravek.
Oba imata oceno nevarnosti 9.8/10 in oceno KRITIČNO v NVD ZDA oz. Nacionalna zbirka podatkov o ranljivosti (poročila parafraziramo mi):
- CVE-2022-26376. Poškodba pomnilnika v funkciji unescape httpd. Posebej oblikovana zahteva HTTP lahko povzroči okvaro pomnilnika. Napadalec lahko pošlje omrežno zahtevo, da sproži to ranljivost. (Osnovna ocena: 9.8 KRITIČNO.)
- CVE-2018-1160. Netatalk pred 3.1.12 [izdan 2018] ranljiv za pisanje izven meja. To je posledica pomanjkanja preverjanja meja podatkov, ki jih nadzoruje napadalec. Oddaljeni nepreverjeni napadalec lahko izkoristi to ranljivost za izvajanje poljubne kode. (Osnovna ocena: 9.8 KRITIČNO.)
Razložiti.
nettalk je komponenta programske opreme, ki zagotavlja podporo za mreženje v slogu Apple, vendar to ne pomeni, da bi moral napadalec uporabiti računalnik Macintosh ali programsko opremo Apple, da sproži napako.
Pravzaprav, glede na to, da bi uspešno izkoriščanje zahtevalo namerno napačno oblikovane omrežne podatke, zakonita odjemalska programska oprema Netatalk verjetno tako ali tako ne bi opravila svojega dela, tako da bi napadalec uporabil po meri ustvarjeno kodo in bi teoretično lahko izvedel napad iz katerega koli operacijskega sistema na kateri koli računalnik z omrežno povezavo.
HTTP beg in ubežanje je potreben vedno, ko URL vključuje podatkovni znak, ki ga ni mogoče neposredno predstaviti v besedilu URL-ja.
URL-ji na primer ne smejo vključevati presledkov (za zagotovitev, da vedno tvorijo en sam sosednji del besedila, ki ga je mogoče natisniti), tako da, če se želite sklicevati na uporabniško ime ali datoteko, ki vsebuje presledek, morate pobegniti presledek tako, da ga pretvorite v znak za odstotek, ki mu sledi njegova koda ASCII v šestnajstiški obliki (0x20 ali 32 v decimalni obliki).
Podobno, ker to daje poseben pomen samemu znaku za odstotek, mora biti tudi ta zapisan kot znak za odstotek (%
), ki ji sledi njegova koda ASCII (0x25 v šestnajstiškem ali 37 v decimalnem), prav tako kot drugi znaki, ki se uporabljajo v URL-jih, kot je dvopičje (:
), poševnica (/
), vprašaj (?
) in ampersand (&
).
Ko ga spletni strežnik prejme (program imenovan httpd
v zgornjih informacijah CVE), so vsi ubežni znaki neizbežno tako, da jih pretvorite nazaj iz njihovih odstotno kodiranih oblik v izvirne besedilne znake.
Zakaj je ASUS potreboval tako dolgo, da je popravil te posebne hrošče, ni omenjeno v uradnem svetovanju podjetja, vendar je ravnanje s "ubežnimi kodami" HTTP temeljni del vsake programske opreme, ki posluša in uporablja spletne naslove URL.
Druge napake, navedene v CVE, so popravljene
- CVE-2022-35401. Obhod avtentikacije. Posebej oblikovana zahteva HTTP lahko vodi do popolnega skrbniškega dostopa do naprave. Napadalec bi moral poslati vrsto zahtev HTTP, da bi izkoristil to ranljivost. (Osnovna ocena: 8.1 VISOKO.)
- CVE-2022-38105. Razkritje informacij. Posebej oblikovani omrežni paketi lahko povzročijo razkritje občutljivih informacij. Napadalec lahko pošlje omrežno zahtevo, da sproži to ranljivost. (Osnovna ocena: 7.5 VISOKO.)
- CVE-2022-38393. Zavrnitev storitve (DoS). Posebej oblikovan omrežni paket lahko povzroči zavrnitev storitve. Napadalec lahko pošlje zlonamerni paket, da sproži to ranljivost. (Osnovna ocena: 7.5 VISOKO.)
- CVE-2022-46871. Potencialno izkoriščene napake v odprtokodnem sistemu
libusrsctp
knjižnica. SCTP pomeni Stream Control Transmission Protocol. (Osnovna ocena: 8.8 VISOKO.) - CVE-2023-28702. Nefiltrirani posebni znaki v URL-jih. Oddaljeni napadalec z običajnimi uporabniškimi pravicami lahko izkoristi to ranljivost za izvajanje napadov z vbrizgavanjem ukazov za izvajanje poljubnih sistemskih ukazov, motenje sistema ali prekinitev storitve. (Osnovna ocena: 8.8 VISOKO.)
- CVE-2023-28703. Presežek medpomnilnika. Oddaljeni napadalec s skrbniškimi pravicami lahko izkoristi to ranljivost za izvajanje poljubnih sistemskih ukazov, motenje sistema ali prekinitev storitve. (Osnovna ocena: 7.2 VISOKO.)
- CVE-2023-31195. Ugrabitev seje. Občutljivi piškotki, ki se uporabljajo brez
Secure
nabor atributov. Napadalec bi lahko uporabil lažno (nešifrirano) spletno povezavo HTTP za ugrabitev žetonov za preverjanje pristnosti, ki se ne bi smeli prenašati nešifrirani. (NI TOČK.)
Morda je najbolj opazna napaka na tem seznamu CVE-2023-28702, napad z vbrizgavanjem ukazov, ki zveni podobno MOVEit napake ki so bile zadnje čase v vseh novicah.
Kot smo pojasnili po napaki MOVEit, je ukazni parameter, ki je poslan v spletnem URL-ju, na primer zahteva, ki od strežnika zahteva, da vas začne prijavljati kot uporabnika DUCK
, ni mogoče predati neposredno ukazu na sistemski ravni s slepim in zaupljivim kopiranjem neobdelanega besedila iz URL-ja.
Z drugimi besedami, zahteva:
https://example.com/?user=DUCK
… ni mogoče preprosto pretvoriti z neposrednim postopkom »kopiraj in prilepi« v sistemski ukaz, kot je:
checkuser --name=DUCK
V nasprotnem primeru se lahko napadalec poskusi prijaviti kot:
https://example.com/?user=DUCK;halt
... in pretentati sistem, da izvede ukaz:
checkuser --name=DUCK;halt
... kar je enako, kot če bi zaporedoma izdali dva ločena ukaza spodaj:
checkuser --name=DUCK stop
... kjer ukaz v drugi vrstici zaustavi celoten strežnik.
(Podpičje deluje kot ločilo ukazov in ne kot del argumentov ukazne vrstice.)
Ugrabitev seje
Druga zaskrbljujoča napaka je težava z ugrabitvijo seje, ki jo povzroča CVE-2023-31195.
Kot verjetno veste, strežniki pogosto obravnavajo spletne prijave tako, da vašemu brskalniku pošljejo tako imenovani sejni piškotek, ki označuje, da "se domneva, da je oseba, ki pozna ta piškotek, ista oseba, ki se je pravkar prijavila".
Dokler vam strežnik ne da enega od teh čarobnih piškotkov, dokler se ne identificirate, na primer z uporabniškim imenom, ujemajočim se geslom in veljavno kodo 2FA, bi moral napadalec poznati vaše poverilnice za prijavo se najprej potrdite kot vi.
In dokler niti strežnik niti vaš brskalnik slučajno ne pošljeta čarobnega piškotka prek ne-TLS, nešifrirane, navadne stare povezave HTTP, napadalcu ne bo uspelo zlahka zvabiti vašega brskalnika na lažni strežnik, ki namesto tega uporablja HTTP HTTPS in tako prebrati piškotek iz prestrežene spletne zahteve.
Ne pozabite, da zvabljanje vašega brskalnika v lažno domeno, kot je npr http://example.com/
razmeroma enostavno, če lahko prevarant začasno pretenta vaš brskalnik, da uporabi napačno številko IP za example.com
domena.
Ampak vas zvabi k https:/example.com/
pomeni, da mora napadalec pripraviti tudi prepričljivo ponarejeno spletno potrdilo, da zagotovi goljufivo validacijo strežnika, kar je veliko težje narediti.
Da preprečite tovrstne napade, je treba piškotke, ki niso javni (bodisi zaradi zasebnosti ali zaradi nadzora dostopa), označiti Secure
v glavi HTTP, ki je poslana, ko so nastavljena, takole:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Varno
... namesto preprosto:
Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL
Kaj storiti?
- Če imate prizadet usmerjevalnik ASUS (seznam je tukaj), popravite takoj, ko lahko. Samo zato, ker je ASUS dolgo časa pustil, da vam je prinesel popravke, ne pomeni, da lahko vzamete toliko časa, kot želite, da jih namestite, še posebej zdaj, ko so hrošči, ki so vključeni, javna evidenca.
- Če ne morete popraviti naenkrat, blokirajte vse dohodne dostope do vašega usmerjevalnika, dokler ne uporabite posodobitve. Upoštevajte, da samo preprečevanje povezav HTTP ali HTTPS (spletnega prometa) ni dovolj. ASUS izrecno opozarja, da bi lahko bile vse dohodne omrežne zahteve zlorabljene, zato je treba celo posredovanje vrat (npr. za igre) in dostop do VPN popolnoma blokirati.
- Če ste programer, očistite svoje vnose (da se izognete napakam pri vstavljanju ukazov in prelivanju pomnilnika), ne čakajte mesecev ali let, da strankam pošljete popravke za hrošče z visokimi točkami, in preglejte svoje glave HTTP, da zagotovite, da uporabljate najbolj varne možnosti pri izmenjavi kritičnih podatkov, kot so žetoni za preverjanje pristnosti.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- EVM Finance. Poenoten vmesnik za decentralizirane finance. Dostopite tukaj.
- Quantum Media Group. IR/PR ojačan. Dostopite tukaj.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 12
- 15%
- 25
- 2FA
- 32
- 7
- 8
- 9
- a
- Sposobna
- O meni
- nad
- absolutna
- dostop
- dostopen
- Doseči
- aktov
- upravno
- svetovanje
- po
- Vek
- vsi
- skupaj
- že
- Prav tako
- vedno
- an
- in
- kaj
- Apple
- Uporabi
- SE
- Argumenti
- okoli
- AS
- domnevajo
- At
- napad
- Napadi
- overjena
- Preverjanje pristnosti
- Avtor
- avto
- izogniti
- zaveda
- nazaj
- ozadja, slike
- baza
- BE
- ker
- bilo
- pred
- spodaj
- slepo
- Block
- blokirana
- meja
- Bottom
- brskalnik
- Bug
- hrošči
- zaseden
- vendar
- by
- CAN
- Kartice
- povzročilo
- center
- potrdilo
- značaja
- znaki
- preverjanje
- stranke
- Koda
- barva
- kako
- podjetje
- Podjetja
- primerjalno
- komponenta
- računalnik
- povezava
- povezave
- Vsebuje
- nadzor
- nadzorom
- pretvori
- pretvorbo
- piškotki
- kopiranje
- Korupcija
- bi
- Tečaj
- pokrov
- Mandatno
- kritično
- Stranke, ki so
- cve
- datum
- dDNS
- Denial of Service
- naprava
- naprave
- neposredna
- neposredno
- razkritje
- zaslon
- Moti
- do
- Ne
- domena
- dont
- DOS
- navzdol
- 2
- e
- lažje
- enostavno
- lahka
- bodisi
- Elektronika
- dovolj
- zagotovitev
- zlasti
- Tudi
- VEDNO
- Primer
- izmenjava
- izvršiti
- izvedba
- pričakuje
- Pojasnite
- razložiti
- Izkoristite
- izkorišča
- izpostavljena
- Dejstvo
- Slika
- file
- Najdi
- prva
- sledili
- za
- kovani
- obrazec
- Obrazci
- goljufiva
- iz
- polno
- funkcionalnost
- temeljna
- Games
- dobili
- Daj
- dana
- daje
- grafika
- ročaj
- Ravnanje
- Imajo
- Glave
- višina
- HEX
- visoka
- ugrabitvijo
- Luknje
- Domov
- hover
- http
- HTTPS
- identificirati
- if
- in
- vključujejo
- vključuje
- Dohodni
- Podatki
- vhodi
- Namesto
- v
- vključeni
- IP
- vprašanje
- izdajanje
- IT
- ITS
- sam
- Job
- samo
- Vedite
- znano
- Pomanjkanje
- prenosniki
- vodi
- levo
- legitimno
- Vzvod
- Knjižnica
- kot
- vrstica
- LINK
- Seznam
- prijavljen
- sečnja
- prijava
- Long
- dolgo časa
- magic
- avtomat
- več
- Marža
- znamka
- ujemanje
- Matter
- max širine
- pomeni
- kar pomeni,
- pomeni
- Spomin
- omenjeno
- morda
- mesecev
- Najbolj
- Gora
- veliko
- morajo
- Gola varnost
- Nimate
- potrebna
- potrebe
- Niti
- mreža
- Podatki o omrežju
- mreženje
- novice
- nst
- št
- normalno
- opazen
- zdaj
- Številka
- of
- off
- Uradni
- pogosto
- Staro
- on
- enkrat
- ONE
- open source
- deluje
- operacijski sistem
- možnosti
- or
- izvirno
- Ostalo
- ven
- več
- paketi
- parameter
- del
- zlasti
- Geslo
- Patch
- Obliži
- paul
- odstotkov
- Izvedite
- mogoče
- oseba
- telefoni
- Kraj
- Plain
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Stališče
- mogoče
- Prispevkov
- potencial
- preprečiti
- preprečevanje
- zasebnost
- privilegiji
- verjetno
- Postopek
- Izdelki
- Program
- Programmer
- protokol
- zagotavljajo
- zagotavlja
- javnega
- objavljeno
- vprašanje
- hitreje
- območje
- obsegu
- ocena
- Surovi
- Preberi
- Razlogi
- prejetih
- zapis
- besedilu
- relativna
- sprosti
- daljinsko
- Remote Access
- Poročila
- zastopan
- zahteva
- zahteva
- zahteva
- pregleda
- Pravica
- usmerjevalnik
- tek
- s
- Enako
- pravijo,
- rezultat
- drugi
- zavarovanje
- varnost
- pošljite
- pošiljanja
- pošlje
- občutljiva
- poslan
- ločena
- Zaporedje
- Serija
- Strežniki
- Storitev
- Storitve
- Zasedanje
- nastavite
- LADJE
- shouldnt
- Zapri
- strani
- podpisati
- Podoben
- preprosto
- sam
- So
- Software
- trdna
- nekaj
- nekdo
- Kmalu
- Vesolje
- prostori
- posebna
- stojala
- Začetek
- tok
- uspešno
- taka
- podpora
- SVG
- sistem
- Bodite
- pove
- da
- O
- njihove
- Njih
- sami
- POTEM
- te
- jih
- ta
- čas
- do
- Boni
- tudi
- vzel
- vrh
- Prometa
- Prehod
- pregleden
- sprožijo
- poskusite
- dva
- dokler
- nezaželen
- Nadgradnja
- URL
- us
- uporaba
- Rabljeni
- uporabnik
- uporablja
- uporabo
- potrjevanje
- preko
- VPN
- Ranljivosti
- ranljivost
- Ranljivi
- Počakaj
- Čakam
- Wake
- želeli
- Opozori
- način..
- we
- web
- spletni strežnik
- Web-Based
- teden
- dobro znana
- kdaj
- kadar koli
- ki
- WHO
- celoti
- široka
- Širok spekter
- širina
- Wild
- pripravljeni
- z
- brez
- besede
- bi
- pisati
- pisni
- Napačen
- let
- Vi
- Vaša rutina za
- sami
- zefirnet