کرل کے کمزور ورژن کے لیے اپنے ماحول کو کیسے اسکین کریں۔

سیکیورٹی ٹیموں کو بحران سے نمٹنے کے لیے بحران کے موڈ میں جانے کی ضرورت نہیں ہے۔ کمانڈ لائن ٹول curl اور libcurl لائبریری میں حال ہی میں طے شدہ خطرات، لیکن اس کا مطلب یہ نہیں ہے کہ انہیں متاثرہ نظاموں کی شناخت اور تدارک کے بارے میں فکر کرنے کی ضرورت نہیں ہے۔ اگر سسٹمز فوری طور پر قابل استعمال نہیں ہیں، تو سیکیورٹی ٹیموں کے پاس ان اپ ڈیٹس کرنے کے لیے کچھ وقت ہوتا ہے۔

یہ ٹیک ٹِپ اس بارے میں رہنمائی کو جمع کرتی ہے کہ سیکیورٹی ٹیموں کو یہ یقینی بنانے کے لیے کیا کرنا چاہیے کہ وہ خطرے میں نہیں ہیں۔

یونکس اور لینکس سسٹمز کے لیے ایک بنیادی نیٹ ورکنگ ٹول، cURL کو ڈیٹا کی منتقلی کے لیے کمانڈ لائنز اور اسکرپٹس میں استعمال کیا جاتا ہے۔ اس کا پھیلاؤ اس حقیقت کی وجہ سے ہے کہ اسے اسٹینڈ لون یوٹیلیٹی (curl) کے ساتھ ساتھ ایک لائبریری کے طور پر بھی استعمال کیا جاتا ہے جو کہ بہت سی مختلف قسم کی ایپلی کیشنز (libcurl) میں شامل ہے۔ libcurl لائبریری، جو ڈویلپرز کو اپنے کوڈ سے curl APIs تک رسائی حاصل کرنے کی اجازت دیتی ہے، کوڈ میں براہ راست متعارف کرایا جا سکتا ہے، انحصار کے طور پر استعمال کیا جاتا ہے، آپریٹنگ سسٹم بنڈل کے حصے کے طور پر استعمال کیا جاتا ہے، ڈوکر کنٹینر کے حصے کے طور پر شامل کیا جاتا ہے، یا اس پر انسٹال کیا جا سکتا ہے۔ Kubernetes کلسٹر نوڈ۔

CVE-2023-38545 کیا ہے؟

اعلی شدت کا خطرہ curl اور libcurl کو متاثر کرتا ہے۔ ورژن 7.69.0 سے 8.3.0 تک، اور کم شدت کا خطرہ libcurl ورژن 7.9.1 سے 8.3.0 پر اثر انداز ہوتا ہے۔ تاہم، پہلے سے طے شدہ حالات میں کمزوریوں کا فائدہ نہیں اٹھایا جا سکتا۔ خطرے کو متحرک کرنے کی کوشش کرنے والے حملہ آور کو حملہ آور کے کنٹرول میں ایک بدنیتی پر مبنی سرور پر curl کی نشاندہی کرنے کی ضرورت ہوگی، اس بات کو یقینی بنائیں کہ curl SOCKS5 پراکسی کا استعمال کر رہا ہے proxy-resolver موڈ کا استعمال کر رہا ہے، curl کو خودکار طور پر ری ڈائریکٹس کی پیروی کرنے کے لیے ترتیب دیں، اور بفر سائز کو ایک چھوٹا سیٹ کریں۔ سائز

کے مطابق یائر مزرحی، JFrog کے ایک سینئر سیکورٹی محقق کے مطابق، libcurl لائبریری خطرے سے دوچار ہے۔ صرف اگر مندرجہ ذیل ماحولیاتی متغیرات سیٹ ہیں: CURLOPT_PROXYTYPE  ٹائپ کرنے کے لیے سیٹ کریں۔ CURLPROXY_SOCKS5_HOSTNAME؛ یا CURLOPT_PROXY or CURLOPT_PRE_PROXY  سکیم کے لئے مقرر جرابیں 5h://. اگر پراکسی ماحول کے متغیرات میں سے ایک کو استعمال کرنے کے لیے سیٹ کیا گیا ہے تو لائبریری بھی خطرے سے دوچار ہے۔ جرابیں 5h:// سکیم کمانڈ لائن ٹول صرف اس صورت میں کمزور ہے جب اسے کے ساتھ عمل میں لایا جائے۔ -socks5-میزبان نام پرچم، یا کے ساتھ -پراکسی (-x) یا - پری پراکسی اسکیم کو استعمال کرنے کے لیے تیار ہے۔ جرابیں 5h://. یہ بھی خطرے سے دوچار ہے اگر curl کو متاثرہ ماحولیاتی متغیرات کے ساتھ عمل میں لایا جائے۔

"مشین کو کمزور کرنے کے لیے پیشگی شرائط کا مجموعہ درکار ہے (پچھلا حصہ دیکھیں) ابتدائی طور پر خیال کیے جانے سے زیادہ پابندی والا ہے۔ لہذا، ہمیں یقین ہے کہ کرل استعمال کرنے والوں کی اکثریت اس خطرے سے متاثر نہیں ہوگی،" میزراہی نے تجزیہ میں لکھا۔

کمزور نظاموں کے لیے ماحولیات کو اسکین کریں۔

سب سے پہلے جو کام تنظیموں کو کرنے کی ضرورت ہے وہ یہ ہے کہ وہ اپنے ماحول کا دائرہ کار کرل اور libcurl کا استعمال کرتے ہوئے تمام سسٹمز کی شناخت کریں تاکہ یہ اندازہ لگایا جا سکے کہ آیا وہ پیشگی شرائط موجود ہیں۔ سائکوڈ میں سیکورٹی ریسرچ کے سربراہ الیکس الگائیف نے نوٹ کیا کہ تنظیموں کو اپنے سسٹمز کی انوینٹری کرنی چاہیے اور کوڈ، سکیننگ کنٹینرز، اور ایپلیکیشن سیکیورٹی پوزیشن مینجمنٹ یوٹیلیٹیز کے لیے سافٹ ویئر کمپوزیشن اینالیسس ٹولز کا استعمال کرتے ہوئے اپنے سافٹ ویئر کی ترسیل کے عمل کا جائزہ لینا چاہیے۔ اگرچہ کمزوری curl کے ہر عمل کو متاثر نہیں کرتی ہے، لیکن متاثرہ نظاموں کی شناخت کرنا آسان ہو جائے گا اگر ٹیم دیکھنے کے لیے ممکنہ مقامات کی فہرست کے ساتھ شروع کرے۔

درج ذیل کمانڈز اس بات کی نشاندہی کرتی ہیں کہ curl کے کون سے ورژن انسٹال ہیں:

لینکس/میک او ایس:

find / -name curl 2>/dev/null -exec echo "ملا: {}" ; -exec {} --version ;

ونڈوز:

Get-ChildItem -Path C: -Recurse -ErrorAction خاموشی سے جاری رکھیں -Filter curl.exe | ForEach-Object { Write-Host "Found: $($_.FullName)"؛ & $_.FullName --version }

GitHub کے پاس ایک ہے۔ اینڈپوائنٹ کے لیے ڈیفنڈر میں چلانے کے لیے استفسار ماحول میں موجود تمام آلات کی شناخت کرنے کے لیے جن میں curl نصب ہے یا curl استعمال کرتے ہیں۔ Qualis نے اپنے قواعد شائع کیے ہیں۔ اس کے پلیٹ فارم کو استعمال کرنے کے لیے۔

ڈوکر کنٹینرز یا دیگر کنٹینر ٹیکنالوجیز استعمال کرنے والی تنظیموں کو بھی کمزور ورژن کے لیے تصاویر کو اسکین کرنا چاہیے۔ بڑی تعداد میں دوبارہ تعمیرات متوقع ہیں، خاص طور پر ڈوکر امیجز اور اسی طرح کے اداروں میں جو liburl کاپیاں شامل کرتے ہیں۔ ڈوکر نے ایک ساتھ کھینچ لیا ہے۔ ہدایات کی ایک فہرست تمام تصاویر کا جائزہ لینے پر۔

موجودہ ذخیرہ تلاش کرنے کے لیے:

ڈاکر سکاؤٹ ریپو قابل --org /scout-demo

مقامی کنٹینر کی تصاویر کا تجزیہ کرنے کے لیے:

ڈاکر سکاؤٹ پالیسی [IMAGE] --org [ORG]

Endor Labs کے ایک سیکورٹی محقق، Henrik Plate کے مطابق، یہ مسئلہ کسی تنظیم میں استعمال کیے جانے والے تمام اوپن سورس سافٹ ویئر کا باریک بینی سے ٹریک رکھنے کی اہمیت کو اجاگر کرتا ہے۔

پلیٹ نے کہا، "کرل اور لیبکرل کے تمام استعمالات کے بارے میں جاننا اصل خطرے کا اندازہ لگانے اور تدارک کے اقدامات کرنے کی شرط ہے، چاہے وہ کرل کو پیچ کرنا ہو، غیر بھروسہ مند نیٹ ورکس سے متاثرہ سسٹم تک رسائی کو محدود کرنا ہو، یا دیگر انسدادی اقدامات کو نافذ کرنا،" پلیٹ نے کہا۔

Viakoo Labs کے نائب صدر جان گالاگھر نے مزید کہا کہ اگر ایپلی کیشن مواد کے سافٹ ویئر بل کے ساتھ آتی ہے، تو یہ curl کی مثالوں کی تلاش شروع کرنے کے لیے ایک اچھی جگہ ہوگی۔

صرف اس وجہ سے کہ خامیاں قابل استعمال نہیں ہیں اس کا مطلب یہ نہیں ہے کہ اپ ڈیٹس ضروری نہیں ہیں۔ پیچ دستیاب ہیں۔ براہ راست curl اور libcurl کے لئے، اور بہت سے آپریٹنگ سسٹمز (Debian، Ubuntu، Red Hat، وغیرہ) نے بھی فکسڈ ورژن کو آگے بڑھایا ہے۔ دیگر ایپلی کیشنز سے سیکیورٹی اپ ڈیٹس پر نظر رکھیں، کیونکہ libcurl ایک لائبریری ہے جسے بہت سے آپریٹنگ سسٹمز اور ایپلیکیشنز استعمال کرتے ہیں۔

JFrog's Mizrahi کے مطابق، SOCKS5 پراکسی سے جڑتے وقت اپ ڈیٹس کے تعینات ہونے تک ایک حل یہ ہے کہ curl کو مقامی ہوسٹ نام ریزولونگ استعمال کرنے پر مجبور کیا جائے۔ یہ نحو socks5 اسکیم کا استعمال کرتا ہے نہ کہ socks5h: curl -x socks5://someproxy.com. لائبریری میں ماحولیاتی متغیر کو تبدیل کریں۔ CURLPROXY_SOCKS5_HOSTNAME ساتھ CURLPROXY_SOCKS5.

بینجمن مار کے مطابق، ایک سیکیورٹی انجینئر گھسپیٹھیی, سیکورٹی ٹیموں کو ضرورت سے زیادہ بڑی تاروں کے لیے curl جھنڈوں کی نگرانی کرنی چاہیے، کیونکہ اس سے ظاہر ہوتا ہے کہ سسٹم سے سمجھوتہ کیا گیا ہے۔ جھنڈے ہیں۔ -socks5-میزبان نام، یا -پراکسی or - پری پراکسی اسکیم کو استعمال کرنے کے لیے تیار ہے۔ جرابیں 5h://.

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl