Cách quét môi trường của bạn để tìm các phiên bản Curl dễ bị tổn thương

Các nhóm bảo mật không cần phải chuyển sang chế độ khủng hoảng để giải quyết Đã sửa các lỗ hổng gần đây trong công cụ dòng lệnh Curl và thư viện libcurl, nhưng điều đó không có nghĩa là họ không phải lo lắng về việc xác định và khắc phục các hệ thống bị ảnh hưởng. Nếu hệ thống không thể khai thác được ngay lập tức, các nhóm bảo mật sẽ có thời gian để thực hiện những cập nhật đó.

Mẹo công nghệ này tổng hợp hướng dẫn về những việc nhóm bảo mật cần làm để đảm bảo họ không gặp rủi ro.

Là một công cụ mạng nền tảng cho hệ thống Unix và Linux, cURL được sử dụng trong các dòng lệnh và tập lệnh để truyền dữ liệu. Sự phổ biến của nó là do nó được sử dụng như một tiện ích độc lập (curl) cũng như một thư viện được bao gồm trong nhiều loại ứng dụng khác nhau (libcurl). Thư viện libcurl, cho phép các nhà phát triển truy cập API cuộn từ mã riêng của họ, có thể được đưa trực tiếp vào mã, được sử dụng như một phần phụ thuộc, được sử dụng như một phần của gói hệ điều hành, được bao gồm như một phần của bộ chứa Docker hoặc được cài đặt trên một Nút cụm Kubernetes.

CVE-2023-38545 là gì?

Lỗ hổng nghiêm trọng cao ảnh hưởng đến độ cong và libcurl phiên bản 7.69.0 đến 8.3.0 và lỗ hổng có mức độ nghiêm trọng thấp ảnh hưởng đến các phiên bản libcurl 7.9.1 đến 8.3.0. Tuy nhiên, các lỗ hổng không thể bị khai thác trong điều kiện mặc định. Kẻ tấn công cố gắng kích hoạt lỗ hổng sẽ cần phải trỏ Curl vào một máy chủ độc hại dưới sự kiểm soát của kẻ tấn công, đảm bảo rằng Curl đang sử dụng proxy SOCKS5 bằng chế độ trình phân giải proxy, định cấu hình Curl để tự động theo dõi các chuyển hướng và đặt kích thước bộ đệm thành nhỏ hơn. kích cỡ.

Theo Yair Mizrahi, một nhà nghiên cứu bảo mật cấp cao tại JFrog, thư viện libcurl dễ bị tấn công có thể nếu các biến môi trường sau được đặt: CURLOPT_PROXYTYPE  thiết lập để gõ CURLPROXY_SOCKS5_HOSTNAME; Hoặc CURLOPT_PROXY or CURLOPT_PRE_PROXY  thiết lập theo sơ đồ vớ5h://. Thư viện cũng dễ bị tổn thương nếu một trong các biến môi trường proxy được đặt để sử dụng vớ5h:// cơ chế. Công cụ dòng lệnh chỉ dễ bị tấn công nếu nó được thực thi bằng lệnh -socks5-tên máy chủ cờ, hoặc với -Ủy quyền (-x) hoặc –preproxy thiết lập để sử dụng chương trình vớ5h://. Nó cũng dễ bị tổn thương nếu việc thực thi lệnh Curl với các biến môi trường bị ảnh hưởng.

“Tập hợp các điều kiện trước cần thiết để khiến máy dễ bị tấn công (xem phần trước) có nhiều hạn chế hơn so với suy nghĩ ban đầu. Do đó, chúng tôi tin rằng đại đa số người dùng Curl sẽ không bị ảnh hưởng bởi lỗ hổng này”, Mizrahi viết trong phân tích.

Quét môi trường để tìm các hệ thống dễ bị tổn thương

Điều đầu tiên các tổ chức cần làm là xác định phạm vi môi trường của mình để xác định tất cả các hệ thống sử dụng Curl và libcurl nhằm đánh giá xem các điều kiện tiên quyết đó có tồn tại hay không. Alex Ilgayev, người đứng đầu nghiên cứu bảo mật tại Cycode, lưu ý rằng các tổ chức nên kiểm kê hệ thống của mình và đánh giá quy trình phân phối phần mềm bằng cách sử dụng các công cụ phân tích thành phần phần mềm cho mã, quét vùng chứa và các tiện ích quản lý trạng thái bảo mật ứng dụng. Mặc dù lỗ hổng bảo mật không ảnh hưởng đến mọi hoạt động triển khai Curl, nhưng việc xác định các hệ thống bị ảnh hưởng sẽ dễ dàng hơn nếu nhóm bắt đầu với danh sách các vị trí tiềm năng để xem xét.

Các lệnh sau xác định phiên bản Curl nào được cài đặt:

Linux/MacOS:

find / -name Curl 2>/dev/null -exec echo "Found: {}" ; -exec {} --version ;

Windows:

Get-ChildItem -Đường dẫn C: -Recurse -ErrorAction SilentlyContinue -Filter Curl.exe | ForEach-Object { Write-Host "Đã tìm thấy: $($_.FullName)"; & $_.FullName --version }

GitHub có một truy vấn để chạy trong Defender for Endpoint để xác định tất cả các thiết bị trong môi trường đã cài đặt Curl hoặc sử dụng Curl. Qualys đã công bố các quy tắc của mình để sử dụng nền tảng của nó.

Các tổ chức sử dụng bộ chứa Docker hoặc các công nghệ bộ chứa khác cũng nên quét hình ảnh để tìm các phiên bản dễ bị tấn công. Dự kiến ​​sẽ có một số lượng lớn các bản xây dựng lại, đặc biệt là trong hình ảnh docker và các thực thể tương tự kết hợp các bản sao liburl. Docker đã tập hợp lại một danh sách các hướng dẫn về việc đánh giá tất cả các hình ảnh.

Để tìm kho lưu trữ hiện có:

kích hoạt repo docker Scout --org /trinh sát-demo

Để phân tích hình ảnh vùng chứa cục bộ:

chính sách trinh sát docker [IMAGE] --org [ORG]

Theo Henrik Plate, nhà nghiên cứu bảo mật tại Endor Labs, vấn đề này nhấn mạnh tầm quan trọng của việc theo dõi tỉ mỉ tất cả phần mềm nguồn mở đang được sử dụng trong một tổ chức.

Plate cho biết: “Biết về tất cả cách sử dụng Curl và libcurl là điều kiện tiên quyết để đánh giá rủi ro thực tế và thực hiện các hành động khắc phục, có thể là vá lỗi Curl, hạn chế quyền truy cập vào các hệ thống bị ảnh hưởng từ các mạng không đáng tin cậy hoặc thực hiện các biện pháp đối phó khác”.

John Gallagher, phó chủ tịch của Viakoo Labs cho biết thêm, nếu ứng dụng đi kèm với một danh mục vật liệu phần mềm, thì đó sẽ là nơi tốt để bắt đầu tìm kiếm các trường hợp bị cong.

Chỉ vì các lỗ hổng không thể khai thác được không có nghĩa là các bản cập nhật là không cần thiết. Các bản vá có sẵn trực tiếp cho Curl và libcurl, và nhiều hệ điều hành (Debian, Ubuntu, Red Hat, v.v.) cũng đã đưa ra các phiên bản cố định. Hãy chú ý đến các bản cập nhật bảo mật từ các ứng dụng khác, vì libcurl là thư viện được nhiều hệ điều hành và ứng dụng sử dụng.

Theo Mizrahi của JFrog, một cách giải quyết khác cho đến khi các bản cập nhật có thể được triển khai là buộc Curl sử dụng tính năng phân giải tên máy chủ cục bộ khi kết nối với proxy SOCKS5. Cú pháp này sử dụng lược đồ vớ5 chứ không phải vớ5h: cuộn tròn -x vớ5://someproxy.com. Trong thư viện, thay thế biến môi trường CURLPROXY_SOCKS5_HOSTNAME với CURLPROXY_SOCKS5.

Theo Benjamin Marr, một kỹ sư bảo mật tại Intruder, các nhóm bảo mật nên giám sát cờ cuộn để phát hiện các chuỗi quá lớn vì điều đó cho thấy hệ thống đã bị xâm phạm. Những lá cờ là –socks5-tên máy chủ, hoặc là -Ủy quyền or –preproxy thiết lập để sử dụng chương trình vớ5h://.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl