Các nhóm bảo mật không cần phải chuyển sang chế độ khủng hoảng để giải quyết Đã sửa các lỗ hổng gần đây trong công cụ dòng lệnh Curl và thư viện libcurl, nhưng điều đó không có nghĩa là họ không phải lo lắng về việc xác định và khắc phục các hệ thống bị ảnh hưởng. Nếu hệ thống không thể khai thác được ngay lập tức, các nhóm bảo mật sẽ có thời gian để thực hiện những cập nhật đó.
Mẹo công nghệ này tổng hợp hướng dẫn về những việc nhóm bảo mật cần làm để đảm bảo họ không gặp rủi ro.
Là một công cụ mạng nền tảng cho hệ thống Unix và Linux, cURL được sử dụng trong các dòng lệnh và tập lệnh để truyền dữ liệu. Sự phổ biến của nó là do nó được sử dụng như một tiện ích độc lập (curl) cũng như một thư viện được bao gồm trong nhiều loại ứng dụng khác nhau (libcurl). Thư viện libcurl, cho phép các nhà phát triển truy cập API cuộn từ mã riêng của họ, có thể được đưa trực tiếp vào mã, được sử dụng như một phần phụ thuộc, được sử dụng như một phần của gói hệ điều hành, được bao gồm như một phần của bộ chứa Docker hoặc được cài đặt trên một Nút cụm Kubernetes.
CVE-2023-38545 là gì?
Lỗ hổng nghiêm trọng cao ảnh hưởng đến độ cong và libcurl phiên bản 7.69.0 đến 8.3.0 và lỗ hổng có mức độ nghiêm trọng thấp ảnh hưởng đến các phiên bản libcurl 7.9.1 đến 8.3.0. Tuy nhiên, các lỗ hổng không thể bị khai thác trong điều kiện mặc định. Kẻ tấn công cố gắng kích hoạt lỗ hổng sẽ cần phải trỏ Curl vào một máy chủ độc hại dưới sự kiểm soát của kẻ tấn công, đảm bảo rằng Curl đang sử dụng proxy SOCKS5 bằng chế độ trình phân giải proxy, định cấu hình Curl để tự động theo dõi các chuyển hướng và đặt kích thước bộ đệm thành nhỏ hơn. kích cỡ.
Theo Yair Mizrahi, một nhà nghiên cứu bảo mật cấp cao tại JFrog, thư viện libcurl dễ bị tấn công có thể nếu các biến môi trường sau được đặt: CURLOPT_PROXYTYPE thiết lập để gõ CURLPROXY_SOCKS5_HOSTNAME; Hoặc CURLOPT_PROXY or CURLOPT_PRE_PROXY thiết lập theo sơ đồ vớ5h://. Thư viện cũng dễ bị tổn thương nếu một trong các biến môi trường proxy được đặt để sử dụng vớ5h:// cơ chế. Công cụ dòng lệnh chỉ dễ bị tấn công nếu nó được thực thi bằng lệnh -socks5-tên máy chủ cờ, hoặc với -Ủy quyền (-x) hoặc –preproxy thiết lập để sử dụng chương trình vớ5h://. Nó cũng dễ bị tổn thương nếu việc thực thi lệnh Curl với các biến môi trường bị ảnh hưởng.
“Tập hợp các điều kiện trước cần thiết để khiến máy dễ bị tấn công (xem phần trước) có nhiều hạn chế hơn so với suy nghĩ ban đầu. Do đó, chúng tôi tin rằng đại đa số người dùng Curl sẽ không bị ảnh hưởng bởi lỗ hổng này”, Mizrahi viết trong phân tích.
Quét môi trường để tìm các hệ thống dễ bị tổn thương
Điều đầu tiên các tổ chức cần làm là xác định phạm vi môi trường của mình để xác định tất cả các hệ thống sử dụng Curl và libcurl nhằm đánh giá xem các điều kiện tiên quyết đó có tồn tại hay không. Alex Ilgayev, người đứng đầu nghiên cứu bảo mật tại Cycode, lưu ý rằng các tổ chức nên kiểm kê hệ thống của mình và đánh giá quy trình phân phối phần mềm bằng cách sử dụng các công cụ phân tích thành phần phần mềm cho mã, quét vùng chứa và các tiện ích quản lý trạng thái bảo mật ứng dụng. Mặc dù lỗ hổng bảo mật không ảnh hưởng đến mọi hoạt động triển khai Curl, nhưng việc xác định các hệ thống bị ảnh hưởng sẽ dễ dàng hơn nếu nhóm bắt đầu với danh sách các vị trí tiềm năng để xem xét.
Các lệnh sau xác định phiên bản Curl nào được cài đặt:
Linux/MacOS:
find / -name Curl 2>/dev/null -exec echo "Found: {}" ; -exec {} --version ;
Windows:
Get-ChildItem -Đường dẫn C: -Recurse -ErrorAction SilentlyContinue -Filter Curl.exe | ForEach-Object { Write-Host "Đã tìm thấy: $($_.FullName)"; & $_.FullName --version }
GitHub có một truy vấn để chạy trong Defender for Endpoint để xác định tất cả các thiết bị trong môi trường đã cài đặt Curl hoặc sử dụng Curl. Qualys đã công bố các quy tắc của mình để sử dụng nền tảng của nó.
Các tổ chức sử dụng bộ chứa Docker hoặc các công nghệ bộ chứa khác cũng nên quét hình ảnh để tìm các phiên bản dễ bị tấn công. Dự kiến sẽ có một số lượng lớn các bản xây dựng lại, đặc biệt là trong hình ảnh docker và các thực thể tương tự kết hợp các bản sao liburl. Docker đã tập hợp lại một danh sách các hướng dẫn về việc đánh giá tất cả các hình ảnh.
Để tìm kho lưu trữ hiện có:
kích hoạt repo docker Scout --org /trinh sát-demo
Để phân tích hình ảnh vùng chứa cục bộ:
chính sách trinh sát docker [IMAGE] --org [ORG]
Theo Henrik Plate, nhà nghiên cứu bảo mật tại Endor Labs, vấn đề này nhấn mạnh tầm quan trọng của việc theo dõi tỉ mỉ tất cả phần mềm nguồn mở đang được sử dụng trong một tổ chức.
Plate cho biết: “Biết về tất cả cách sử dụng Curl và libcurl là điều kiện tiên quyết để đánh giá rủi ro thực tế và thực hiện các hành động khắc phục, có thể là vá lỗi Curl, hạn chế quyền truy cập vào các hệ thống bị ảnh hưởng từ các mạng không đáng tin cậy hoặc thực hiện các biện pháp đối phó khác”.
John Gallagher, phó chủ tịch của Viakoo Labs cho biết thêm, nếu ứng dụng đi kèm với một danh mục vật liệu phần mềm, thì đó sẽ là nơi tốt để bắt đầu tìm kiếm các trường hợp bị cong.
Chỉ vì các lỗ hổng không thể khai thác được không có nghĩa là các bản cập nhật là không cần thiết. Các bản vá có sẵn trực tiếp cho Curl và libcurl, và nhiều hệ điều hành (Debian, Ubuntu, Red Hat, v.v.) cũng đã đưa ra các phiên bản cố định. Hãy chú ý đến các bản cập nhật bảo mật từ các ứng dụng khác, vì libcurl là thư viện được nhiều hệ điều hành và ứng dụng sử dụng.
Theo Mizrahi của JFrog, một cách giải quyết khác cho đến khi các bản cập nhật có thể được triển khai là buộc Curl sử dụng tính năng phân giải tên máy chủ cục bộ khi kết nối với proxy SOCKS5. Cú pháp này sử dụng lược đồ vớ5 chứ không phải vớ5h: cuộn tròn -x vớ5://someproxy.com. Trong thư viện, thay thế biến môi trường CURLPROXY_SOCKS5_HOSTNAME với CURLPROXY_SOCKS5.
Theo Benjamin Marr, một kỹ sư bảo mật tại Intruder, các nhóm bảo mật nên giám sát cờ cuộn để phát hiện các chuỗi quá lớn vì điều đó cho thấy hệ thống đã bị xâm phạm. Những lá cờ là –socks5-tên máy chủ, hoặc là -Ủy quyền or –preproxy thiết lập để sử dụng chương trình vớ5h://.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/dr-tech/how-to-scan-environment-vulnerable-curl
- : có
- :là
- :không phải
- 1
- 7
- 8
- 9
- a
- Giới thiệu
- truy cập
- Theo
- hành động
- thực tế
- địa chỉ
- Thêm
- ảnh hưởng đến
- tổng hợp
- alex
- Tất cả
- cho phép
- Ngoài ra
- an
- phân tích
- phân tích
- và
- API
- Các Ứng Dụng
- bảo mật ứng dụng
- các ứng dụng
- LÀ
- AS
- đánh giá
- Đánh giá
- At
- tự động
- có sẵn
- BE
- bởi vì
- được
- được
- Tin
- tin
- cây bồ đề
- Hóa đơn
- cả hai
- đệm
- Bó lại
- nhưng
- by
- CAN
- không thể
- cụm
- mã
- đến
- thành phần
- Thỏa hiệp
- điều kiện
- Kết nối
- Container
- Container
- điều khiển
- cuộc khủng hoảng
- dữ liệu
- Mặc định
- giao hàng
- Phụ thuộc
- triển khai
- phát triển
- Thiết bị (Devices)
- khác nhau
- trực tiếp
- do
- phu bến tàu
- làm
- doesn
- Không
- don
- dont
- hai
- dễ dàng hơn
- bỏ lỡ
- cho phép
- ky sư
- đảm bảo
- thực thể
- Môi trường
- môi trường
- vv
- đánh giá
- Ngay cả
- Mỗi
- Thực thi
- tồn tại
- hiện tại
- dự kiến
- khai thác
- mắt
- thực tế
- Tìm kiếm
- Tên
- cố định
- cờ
- sai sót
- theo
- tiếp theo
- Trong
- Buộc
- tìm thấy
- từ
- tốt
- hướng dẫn
- có
- mũ
- Có
- cái đầu
- Cao
- nổi bật
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- xác định
- xác định
- if
- hình ảnh
- hình ảnh
- ngay
- tác động
- Tác động
- thực hiện
- thực hiện
- tầm quan trọng
- in
- bao gồm
- kết hợp
- chỉ
- ban đầu
- cài đặt
- trong
- giới thiệu
- hàng tồn kho
- vấn đề
- IT
- ITS
- nhà vệ sinh
- jpg
- Giữ
- giữ
- Phòng thí nghiệm
- lớn
- Thư viện
- dòng
- linux
- Danh sách
- địa phương
- . Các địa điểm
- Xem
- tìm kiếm
- Thấp
- máy
- Đa số
- làm cho
- quản lý
- nhiều
- nguyên vật liệu
- nghĩa là
- tỉ mỉ
- Chế độ
- giám sát
- chi tiết
- cần thiết
- Cần
- cần thiết
- mạng lưới
- mạng
- nút
- Chú ý
- con số
- of
- on
- ONE
- có thể
- mở
- mã nguồn mở
- hoạt động
- hệ điều hành
- các hệ điều hành
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- ra
- riêng
- một phần
- đặc biệt
- Các bản vá lỗi
- Vá
- Nơi
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điều luật
- tiềm năng
- Chủ tịch
- trước
- Quy trình
- Proxy
- công bố
- đẩy
- đỏ
- Red Hat
- thay thế
- nghiên cứu
- nhà nghiên cứu
- giải quyết
- hạn chế
- Hạn chế
- Nguy cơ
- chạy
- Nói
- quét
- quét
- Đề án
- phạm vi
- Hướng đạo
- kịch bản
- Phần
- an ninh
- xem
- cao cấp
- máy chủ
- định
- nên
- tương tự
- khá lớn
- Kích thước máy
- nhỏ hơn
- Phần mềm
- hóa đơn phần mềm
- một số
- nguồn
- độc lập
- Bắt đầu
- bắt đầu
- chắc chắn
- Lung lay
- cú pháp
- hệ thống
- hệ thống
- dùng
- nhóm
- đội
- công nghệ cao
- Công nghệ
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- vì thế
- họ
- điều
- điều này
- những
- Tuy nhiên?
- thời gian
- tip
- đến
- bên nhau
- công cụ
- công cụ
- theo dõi
- chuyển
- kích hoạt
- cố gắng
- loại
- Ubuntu
- Dưới
- unix
- cho đến khi
- Cập nhật
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- sử dụng
- tiện ích
- tiện ích
- biến
- Lớn
- phiên bản
- phó
- Phó Chủ Tịch
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- we
- TỐT
- Điều gì
- khi nào
- liệu
- cái nào
- với
- lo
- sẽ
- đã viết
- trên màn hình
- zephyrnet