ทีมรักษาความปลอดภัยไม่จำเป็นต้องเข้าสู่โหมดวิกฤตเพื่อจัดการกับปัญหา เพิ่งแก้ไขช่องโหว่ในเครื่องมือบรรทัดคำสั่ง curl และไลบรารี libcurlแต่นั่นไม่ได้หมายความว่าพวกเขาจะไม่ต้องกังวลกับการระบุและแก้ไขระบบที่ได้รับผลกระทบ หากระบบไม่สามารถหาประโยชน์ได้ในทันที ทีมรักษาความปลอดภัยจะมีเวลาทำการอัปเดตเหล่านั้น
เคล็ดลับทางเทคนิคนี้จะรวบรวมคำแนะนำเกี่ยวกับสิ่งที่ทีมรักษาความปลอดภัยต้องทำเพื่อให้แน่ใจว่าพวกเขาจะไม่ตกอยู่ในความเสี่ยง
cURL เป็นเครื่องมือเครือข่ายพื้นฐานสำหรับระบบ Unix และ Linux ในบรรทัดคำสั่งและสคริปต์เพื่อถ่ายโอนข้อมูล ความชุกของมันเกิดจากการที่มันถูกใช้เป็นทั้งยูทิลิตี้แบบสแตนด์อโลน (curl) เช่นเดียวกับไลบรารีที่รวมอยู่ในแอปพลิเคชันประเภทต่างๆ (libcurl) ไลบรารี libcurl ซึ่งช่วยให้นักพัฒนาสามารถเข้าถึง curl API จากโค้ดของตนเองได้ สามารถใส่ลงในโค้ดได้โดยตรง ใช้เป็นการพึ่งพา ใช้เป็นส่วนหนึ่งของชุดระบบปฏิบัติการ รวมเป็นส่วนหนึ่งของคอนเทนเนอร์ Docker หรือติดตั้งบน โหนดคลัสเตอร์ Kubernetes
CVE-2023-38545 คืออะไร?
ช่องโหว่ที่มีความรุนแรงสูง ส่งผลต่อ curl และ libcurl เวอร์ชัน 7.69.0 ถึง 8.3.0 และช่องโหว่ที่มีความรุนแรงต่ำส่งผลกระทบต่อ libcurl เวอร์ชัน 7.9.1 ถึง 8.3.0 อย่างไรก็ตาม ช่องโหว่ดังกล่าวไม่สามารถถูกโจมตีได้ภายใต้เงื่อนไขเริ่มต้น ผู้โจมตีที่พยายามกระตุ้นช่องโหว่จะต้องชี้ Curl ไปที่เซิร์ฟเวอร์ที่เป็นอันตรายภายใต้การควบคุมของผู้โจมตี ตรวจสอบให้แน่ใจว่า Curl กำลังใช้พร็อกซี SOCKS5 โดยใช้โหมดตัวแก้ไขพร็อกซี กำหนดค่า Curl ให้ติดตามการเปลี่ยนเส้นทางโดยอัตโนมัติ และตั้งค่าขนาดบัฟเฟอร์ให้เล็กลง ขนาด.
ตามที่ ยาอีร์ มิซราฮีนักวิจัยด้านความปลอดภัยอาวุโสของ JFrog ไลบรารี libcurl มีช่องโหว่ เพียง หากมีการตั้งค่าตัวแปรสภาพแวดล้อมต่อไปนี้: CURLOPT_PROXYTYPE ตั้งค่าให้พิมพ์ CURLPROXY_SOCKS5_HOSTNAME; หรือ CURLOPT_PROXY or CURLOPT_PRE_PROXY ตั้งเป็นโครงการ ถุงเท้า5h://. ไลบรารียังมีความเสี่ยงหากมีการตั้งค่าตัวแปรสภาพแวดล้อมพร็อกซีตัวใดตัวหนึ่งให้ใช้ ถุงเท้า5h:// โครงการ เครื่องมือบรรทัดคำสั่งมีช่องโหว่ก็ต่อเมื่อมีการดำเนินการด้วย -socks5-ชื่อโฮสต์ ธงหรือด้วย –พร็อกซี (-x) หรือ –พรีพร็อกซี ตั้งค่าให้ใช้โครงร่าง ถุงเท้า5h://. นอกจากนี้ยังมีความเสี่ยงหากดำเนินการ curl ด้วยตัวแปรสภาพแวดล้อมที่ได้รับผลกระทบ
“ชุดของเงื่อนไขเบื้องต้นที่จำเป็นสำหรับเครื่องจักรที่จะเกิดช่องโหว่ (ดูหัวข้อก่อนหน้า) นั้นมีข้อจำกัดมากกว่าที่เชื่อกันในตอนแรก ดังนั้นเราจึงเชื่อว่าผู้ใช้ Curl ส่วนใหญ่จะไม่ได้รับผลกระทบจากช่องโหว่นี้” Mizrahi เขียนในการวิเคราะห์
สแกนสภาพแวดล้อมเพื่อหาระบบที่มีช่องโหว่
สิ่งแรกที่องค์กรต้องทำคือกำหนดขอบเขตสภาพแวดล้อมเพื่อระบุระบบทั้งหมดโดยใช้ curl และ libcurl เพื่อประเมินว่ามีเงื่อนไขเบื้องต้นเหล่านั้นอยู่หรือไม่ องค์กรต่างๆ ควรจัดทำรายการระบบและประเมินกระบวนการส่งมอบซอฟต์แวร์โดยใช้เครื่องมือวิเคราะห์องค์ประกอบของซอฟต์แวร์สำหรับโค้ด คอนเทนเนอร์การสแกน และยูทิลิตีการจัดการมาตรการรักษาความปลอดภัยของแอปพลิเคชัน อเล็กซ์ อิลกาเยฟ หัวหน้าฝ่ายวิจัยด้านความปลอดภัยของ Cycode กล่าว แม้ว่าช่องโหว่จะไม่ส่งผลกระทบต่อการใช้งาน Curl ทุกครั้ง การระบุระบบที่ได้รับผลกระทบก็จะง่ายกว่าหากทีมเริ่มต้นด้วยรายการตำแหน่งที่เป็นไปได้ที่จะตรวจสอบ
คำสั่งต่อไปนี้ระบุเวอร์ชันของ curl ที่ติดตั้ง:
ลินุกซ์/แมคโอเอส:
ค้นหา / -name curl 2>/dev/null -exec echo "พบ: {}" ; -exec {} --เวอร์ชัน ;
Windows:
รับ-ChildItem -Path C: -Recurse -ErrorAction SilentlyContinue -Filter curl.exe | ForEach-Object { เขียนโฮสต์ "พบ: $($_.FullName)"; & $_.ชื่อเต็ม --รุ่น }
GitHub มี แบบสอบถามที่จะเรียกใช้ใน Defender for Endpoint เพื่อระบุอุปกรณ์ทั้งหมดในสภาพแวดล้อมที่ติดตั้ง Curl หรือใช้ Curl Qualys ได้เผยแพร่กฎเกณฑ์ของตน สำหรับการใช้แพลตฟอร์ม
องค์กรที่ใช้คอนเทนเนอร์ Docker หรือเทคโนโลยีคอนเทนเนอร์อื่นๆ ควรสแกนรูปภาพเพื่อหาเวอร์ชันที่มีช่องโหว่ด้วย คาดว่าจะมีการสร้างใหม่จำนวนมาก โดยเฉพาะอย่างยิ่งในอิมเมจนักเทียบท่าและเอนทิตีที่คล้ายกันซึ่งรวมสำเนา liburl นักเทียบท่าได้ดึงเข้าด้วยกัน รายการคำแนะนำ ในการประเมินภาพทั้งหมด
หากต้องการค้นหาที่เก็บข้อมูลที่มีอยู่:
เปิดใช้งาน repo ลูกเสือนักเทียบท่า --org /scout-demo
วิธีวิเคราะห์อิมเมจคอนเทนเนอร์ในเครื่อง:
นโยบายลูกเสือนักเทียบท่า [ภาพ] --org [ORG]
ปัญหานี้เน้นย้ำถึงความสำคัญของการติดตามซอฟต์แวร์โอเพ่นซอร์สทั้งหมดที่ใช้ในองค์กรอย่างพิถีพิถัน ตามที่ Henrik Plate นักวิจัยด้านความปลอดภัยของ Endor Labs กล่าว
“การรู้เกี่ยวกับการใช้งานทั้งหมดของ curl และ libcurl ถือเป็นข้อกำหนดเบื้องต้นสำหรับการประเมินความเสี่ยงที่แท้จริงและดำเนินการแก้ไข ไม่ว่าจะเป็นการแพทช์ curl การจำกัดการเข้าถึงระบบที่ได้รับผลกระทบจากเครือข่ายที่ไม่น่าเชื่อถือ หรือใช้มาตรการตอบโต้อื่น ๆ” Plate กล่าว
หากแอปพลิเคชันมาพร้อมกับรายการวัสดุซอฟต์แวร์ นั่นอาจเป็นจุดเริ่มต้นที่ดีในการค้นหาอินสแตนซ์ของ curl John Gallagher รองประธานของ Viakoo Labs กล่าวเสริม
การที่ข้อบกพร่องไม่สามารถหาประโยชน์ได้ไม่ได้หมายความว่าไม่จำเป็นต้องอัปเดต มีแพทช์ให้เลือก โดยตรงสำหรับ curl และ libcurlและระบบปฏิบัติการหลายระบบ (Debian, Ubuntu, Red Hat ฯลฯ) ก็ได้เผยแพร่เวอร์ชันที่แก้ไขแล้วเช่นกัน คอยติดตามการอัปเดตด้านความปลอดภัยจากแอปพลิเคชันอื่นๆ เนื่องจาก libcurl เป็นไลบรารีที่ใช้โดยระบบปฏิบัติการและแอปพลิเคชันจำนวนมาก
วิธีแก้ปัญหาอย่างหนึ่งจนกว่าจะสามารถติดตั้งการอัปเดตได้คือการบังคับให้ Curl ใช้ชื่อโฮสต์ท้องถิ่นที่ได้รับการแก้ไขเมื่อเชื่อมต่อกับพร็อกซี SOCKS5 ตาม Mizrahi ของ JFrog ไวยากรณ์นี้ใช้รูปแบบถุงเท้า 5 และไม่ใช่ถุงเท้า 5h: curl -xocks5://someproxy.com. ในไลบรารี ให้แทนที่ตัวแปรสภาพแวดล้อม CURLPROXY_SOCKS5_HOSTNAME กับ CURLPROXY_SOCKS5.
ตามที่ Benjamin Marr วิศวกรด้านความปลอดภัยของ ผู้บุกรุกทีมรักษาความปลอดภัยควรตรวจสอบค่าสถานะ curl เพื่อหาสตริงที่มีขนาดใหญ่เกินไป เนื่องจากนั่นจะบ่งบอกว่าระบบถูกบุกรุก ธงอยู่ –socks5-ชื่อโฮสต์,หรือ –พร็อกซี or –พรีพร็อกซี ตั้งค่าให้ใช้โครงร่าง ถุงเท้า5h://.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- :มี
- :เป็น
- :ไม่
- 1
- 7
- 8
- 9
- a
- เกี่ยวกับเรา
- เข้า
- ตาม
- การปฏิบัติ
- ที่เกิดขึ้นจริง
- ที่อยู่
- เพิ่ม
- มีผลต่อ
- มวลรวม
- อเล็กซ์
- ทั้งหมด
- ช่วยให้
- ด้วย
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- APIs
- การใช้งาน
- ความปลอดภัยของแอปพลิเคชัน
- การใช้งาน
- เป็น
- AS
- ประเมินผล
- การประเมิน
- At
- อัตโนมัติ
- ใช้ได้
- BE
- เพราะ
- รับ
- กำลัง
- เชื่อ
- เชื่อว่า
- เบนจามิน
- บิล
- ทั้งสอง
- กันชน
- กำ
- แต่
- by
- CAN
- ไม่ได้
- Cluster
- รหัส
- มา
- ส่วนประกอบ
- ที่ถูกบุกรุก
- เงื่อนไข
- การเชื่อมต่อ
- ภาชนะ
- ภาชนะบรรจุ
- ควบคุม
- วิกฤติ
- ข้อมูล
- ค่าเริ่มต้น
- การจัดส่ง
- การอยู่ที่
- นำไปใช้
- นักพัฒนา
- อุปกรณ์
- ต่าง
- โดยตรง
- do
- นักเทียบท่า
- ทำ
- doesn
- ไม่
- สวม
- Dont
- สอง
- ง่ายดาย
- เสียงสะท้อน
- ทำให้สามารถ
- วิศวกร
- ทำให้มั่นใจ
- หน่วยงาน
- สิ่งแวดล้อม
- สภาพแวดล้อม
- ฯลฯ
- ประเมินค่า
- แม้
- ทุกๆ
- ดำเนินการ
- มีอยู่
- ที่มีอยู่
- ที่คาดหวัง
- ใช้ประโยชน์
- ตา
- ความจริง
- หา
- ชื่อจริง
- การแก้ไข
- ธง
- ข้อบกพร่อง
- ปฏิบัติตาม
- ดังต่อไปนี้
- สำหรับ
- บังคับ
- พบ
- ราคาเริ่มต้นที่
- ดี
- คำแนะนำ
- มี
- หมวก
- มี
- หัว
- จุดสูง
- ไฮไลท์
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- แยกแยะ
- ระบุ
- if
- ภาพ
- ภาพ
- ทันที
- ที่กระทบ
- ผลกระทบ
- การดำเนินงาน
- การดำเนินการ
- ความสำคัญ
- in
- รวม
- รวมเข้าด้วยกัน
- แสดง
- ในขั้นต้น
- การติดตั้ง
- เข้าไป
- แนะนำ
- สินค้าคงคลัง
- ปัญหา
- IT
- ITS
- จอห์น
- jpg
- เก็บ
- การเก็บรักษา
- ห้องปฏิบัติการ
- ใหญ่
- ห้องสมุด
- เส้น
- ลินุกซ์
- รายการ
- ในประเทศ
- วันหยุด
- ดู
- ที่ต้องการหา
- ต่ำ
- เครื่อง
- ส่วนใหญ่
- ทำ
- การจัดการ
- หลาย
- วัสดุ
- หมายความ
- พิถีพิถัน
- โหมด
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- จำเป็น
- จำเป็นต้อง
- จำเป็น
- เครือข่าย
- เครือข่าย
- ปม
- หมายเหตุ / รายละเอียดเพิ่มเติม
- จำนวน
- of
- on
- ONE
- เพียง
- เปิด
- โอเพนซอร์ส
- การดำเนินงาน
- ระบบปฏิบัติการ
- ระบบปฏิบัติการ
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ออก
- ของตนเอง
- ส่วนหนึ่ง
- โดยเฉพาะ
- แพทช์
- ปะ
- สถานที่
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นโยบาย
- ที่มีศักยภาพ
- ประธาน
- ก่อน
- กระบวนการ
- หนังสือมอบฉันทะ
- การตีพิมพ์
- ผลักดัน
- สีแดง
- หมวกสีแดง
- แทนที่
- การวิจัย
- นักวิจัย
- การตัดสินใจ
- จำกัด
- คับแคบ
- ความเสี่ยง
- วิ่ง
- กล่าวว่า
- การสแกน
- การสแกน
- โครงการ
- ขอบเขต
- แมวมอง
- สคริปต์
- Section
- ความปลอดภัย
- เห็น
- ระดับอาวุโส
- เซิร์ฟเวอร์
- ชุด
- น่า
- คล้ายคลึงกัน
- ขนาดใหญ่
- ขนาด
- มีขนาดเล็กกว่า
- ซอฟต์แวร์
- ค่าซอฟต์แวร์
- บาง
- แหล่ง
- สแตนด์อโลน
- เริ่มต้น
- เริ่มต้น
- แน่ใจ
- การแกว่ง
- วากยสัมพันธ์
- ระบบ
- ระบบ
- การ
- ทีม
- ทีม
- เทคโนโลยี
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- ดังนั้น
- พวกเขา
- สิ่ง
- นี้
- เหล่านั้น
- แต่?
- เวลา
- ชนิด
- ไปยัง
- ร่วมกัน
- เครื่องมือ
- เครื่องมือ
- ลู่
- โอน
- เรียก
- พยายาม
- ชนิด
- อูบุนตู
- ภายใต้
- ยูนิกซ์
- จนกระทั่ง
- การปรับปรุง
- ใช้
- มือสอง
- ผู้ใช้
- ใช้
- การใช้
- ยูทิลิตี้
- ประโยชน์
- ตัวแปร
- กว้างใหญ่
- รุ่น
- รอง
- Vice President
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- we
- ดี
- อะไร
- เมื่อ
- ว่า
- ที่
- กับ
- กังวล
- จะ
- เขียน
- ของคุณ
- ลมทะเล