Generative Data Intelligence

Cyber ​​Security

ASUS varar viðskiptavinum leiðar við: Plástu núna eða lokaðu fyrir allar beiðnir á heimleið

Útgefið af Platon
Útgefið af Platon

Dagsetning:

Views: 93
by Paul Ducklin

ASUS er vel þekktur framleiðandi vinsælra raftækja, allt frá fartölvum og símum til heimabeina og skjákorta.

Í vikunni birti fyrirtækið uppfærslu vélbúnaðar fyrir mikið úrval af heimabeinum sínum, ásamt a sterk viðvörun að ef þú ert ekki til í eða getur uppfært fastbúnaðinn þinn núna, þá þarftu að:

[Slökkva] á þjónustu sem er aðgengileg frá WAN hliðinni til að forðast hugsanleg óæskileg afskipti. Þessi þjónusta felur í sér fjaraðgang frá WAN, framsending hafna, DDNS, VPN netþjóni, DMZ, höfn kveikja.

Við gerum ráð fyrir að ASUS búist við því að hugsanlegir árásarmenn taki sig til við að rannsaka óvarinn tæki núna þegar langur listi yfir villuleiðréttingar hefur verið birtur.

(Auðvitað gætu vel upplýstir árásarmenn hafa vitað um sumar, margar eða allar þessar holur nú þegar, en okkur er ekki kunnugt um nein dagsins hetjudáð í náttúrunni.)

Eins og við höfum áður bent á um Naked Security, er oft auðveldara að átta sig á hetjudáðum ef þú ert með skilti sem segja þér hvert þú átt að leita ...

…á sama hátt og það er miklu fljótlegra og auðveldara að finna nál í heystakki ef einhver segir þér í hvaða bagga hann er áður en þú byrjar.

Gerðu eins og við segjum, ekki eins og við gerum.

Það er pirrandi fyrir ASUS viðskiptavini, ef til vill, hafa tveir af veikleikum sem nú er búið að laga verið til og beðið eftir að vera lagfærðir í langan tíma.

Báðar þessar eru með 9.8/10 „hættustig“ og KRITÍK einkunn í bandaríska NVD, eða Landsgagnagrunnur um varnarleysi (skýrslur umorðaðar af okkur):

  • CVE-2022-26376. Minnisspilling í httpd unescape virkninni. Sérsköpuð HTTP beiðni getur leitt til skemmda á minni. Árásarmaður getur sent netbeiðni til að kalla fram þennan varnarleysi. (Grunneinkunn: 9.8 CRITISCH.)
  • CVE-2018-1160. Netatalk fyrir 3.1.12 [útgefið 2018-12-20] viðkvæmt fyrir skrifum utan marka. Þetta er vegna skorts á eftirliti með árásarstýrðum gögnum. Fjarlægur óvottaður árásarmaður getur nýtt sér þennan varnarleysi til að ná fram handahófskenndri kóða keyrslu. (Grunneinkunn: 9.8 KRITÍKT.)

Að útskýra.

nettalk er hugbúnaðarhluti sem veitir stuðning við netkerfi í Apple-stíl, en þetta þýðir ekki að árásarmaður þurfi að nota Macintosh tölvu eða Apple hugbúnað til að koma villunni af stað.

Í raun, í ljósi þess að vel heppnuð misnotkun myndi krefjast vísvitandi vansköpuð netgögn, lögmætur Netatalk biðlarahugbúnaður myndi líklega ekki gera verkið hvort sem er, svo árásarmaður myndi nota sérsniðinn kóða og gæti fræðilega sett upp árás úr hvaða stýrikerfi sem er á hvaða tölvu sem er. með nettengingu.

HTTP sleppur og sleppur er nauðsynlegt þegar vefslóð inniheldur gagnastaf sem ekki er hægt að tákna beint í texta vefslóðarinnar.

Til dæmis geta vefslóðir ekki innihaldið bil (til að tryggja að þær myndi alltaf einn, samfelldan bút af prentanlegum texta), þannig að ef þú vilt vísa í notandanafn eða skrá sem inniheldur bil þarftu að flýja bilstafinn með því að breyta honum í prósentumerki og síðan ASCII kóða hans í sextánda tölu (0x20 eða 32 í aukastaf).

Á sama hátt, vegna þess að þetta gefur prósentustafnum sjálfum sérstaka merkingu, verður það líka að vera skrifað sem prósentumerki (%) fylgt eftir með ASCII kóða (0x25 í hex, eða 37 í aukastaf), eins og aðrir stafir sem eru notaðir á sérstakan hátt í vefslóðum, eins og tvípunktur (:), rista (/), spurningarmerki (?) og merki (&).

Einu sinni móttekið af vefþjóni (forritið nefnt httpd í CVE-upplýsingunum hér að ofan), eru allir stafir sem slepptu ósloppinn með því að breyta þeim aftur úr prósentukóðuðu formunum yfir í upprunalegu textastafina.

Hvers vegna ASUS tók svona langan tíma að laga þessar tilteknu villur er ekki minnst á í opinberum ráðleggingum fyrirtækisins, en meðhöndlun HTTP „escape codes“ er grundvallarþáttur hvers hugbúnaðar sem hlustar á og notar vefslóðir.

Aðrar villur sem skráðar eru í CVE lagfærðar

  • CVE-2022-35401. Auðkenning framhjá. Sérstök HTTP beiðni getur leitt til fulls stjórnunaraðgangs að tækinu. Árásarmaður þyrfti að senda röð HTTP-beiðna til að nýta þennan varnarleysi. (Grunneinkunn: 8.1 HÁTT.)
  • CVE-2022-38105. Upplýsingagjöf. Sérsmíðaðir netpakkar geta leitt til birtingar á viðkvæmum upplýsingum. Árásarmaður getur sent netbeiðni til að kalla fram þennan varnarleysi. (Grunneinkunn: 7.5 HÁTT.)
  • CVE-2022-38393. Neitun á þjónustu (DoS). Sérhannaður netpakki getur leitt til neitunar á þjónustu. Árásarmaður getur sent skaðlegan pakka til að kveikja á þessum varnarleysi. (Grunneinkunn: 7.5 HÁTT.)
  • CVE-2022-46871. Hugsanlega hagnýtanlegar villur í opnum uppsprettu libusrsctp bókasafn. SCTP stendur fyrir Stream Control Transmission Protocol. (Grunneinkunn: 8.8 HÁTT.)
  • CVE-2023-28702. Ósíaðir sérstafir í vefslóðum. Fjarlægur árásarmaður með eðlileg notendaréttindi getur nýtt sér þennan varnarleysi til að framkvæma árásir á skipanasprautun til að framkvæma handahófskenndar kerfisskipanir, trufla kerfið eða stöðva þjónustu. (Grunneinkunn: 8.8 HÁTT.)
  • CVE-2023-28703. Stuðpúðaflæði. Fjarlægur árásarmaður með stjórnandaréttindi getur nýtt sér þennan varnarleysi til að framkvæma handahófskenndar kerfisskipanir, trufla kerfið eða stöðva þjónustu. (Grunneinkunn: 7.2 HÁTT.)
  • CVE-2023-31195. Session ræna. Viðkvæmar vafrakökur notaðar án þess að Secure eiginleika sett. Árásarmaður gæti notað svikinn HTTP (ódulkóðaðan) veftengil til að ræna auðkenningartákn sem ætti ekki að senda ódulkóðað. (ENGIN STIG.)

Kannski er athyglisverðasta villan á þessum lista CVE-2023-28702, skipunarsprautuárás sem hljómar svipað og MOVEit villur sem hafa verið í fréttum undanfarið.

Eins og við útskýrðum í kjölfar MOVEit villunnar, þá er skipunarfæribreyta sem er send í vefslóð, til dæmis beiðni þar sem þjónninn er beðinn um að byrja að skrá þig inn sem notanda DUCK, er ekki hægt að afhenda beint skipun á kerfisstigi með því að afrita í blindni og traustan texta af vefslóðinni.

Með öðrum orðum, beiðnin:

https://example.com/?user=DUCK

...er ekki einfaldlega hægt að breyta með beinu „copy-and-paste“ ferli í kerfisskipun eins og:

checkuser --name=ÖND

Annars gæti árásarmaður reynt að skrá sig sem:

https://example.com/?user=DUCK;halt

…og plata kerfið til að keyra skipunina:

checkuser --name=DUCK;stopp

…sem er það sama og að gefa út tvær aðskildar skipanir hér að neðan, í röð:

checkuser --name=DUCK stopp

…þar sem skipunin í annarri línu lokar öllum þjóninum.

(Síkomma virkar sem skipanaskilja, ekki sem hluti af skipanalínuröksemdum.)

Rán á þingi

Annar áhyggjufullur galli er vandamálið við ræna setu af völdum CVE-2023-31195.

Eins og þú sennilega veist, sjá netþjónar oft um innskráningu á vefnum með því að senda svokallaða setukaka í vafrann þinn til að gefa til kynna að „sá sem þekkir þessa köku er gert ráð fyrir að vera sami einstaklingurinn og nýskráði sig inn“.

Svo framarlega sem þjónninn gefur þér ekki eina af þessum töfrakökum fyrr en eftir að þú hefur auðkennt sjálfan þig, til dæmis með því að gefa upp notendanafn, samsvarandi lykilorð og gildan 2FA kóða, þá þyrfti árásarmaður að vita innskráningarskilríkin þín til að fáðu staðfestingu eins og þú í fyrsta lagi.

Og svo framarlega sem hvorki þjónninn né vafrinn þinn sendir töfrakökuna fyrir slysni yfir ódulkóðaðri, venjulegri gömlu HTTP tengingu sem ekki er TLS, þá mun árásarmaður ekki auðveldlega geta tælt vafrann þinn á svikaraþjón sem notar HTTP í staðinn af HTTPS, og þar með að lesa upp vafrakökuna úr vefbeiðninni sem var stöðvuð.

Mundu að tálbeita vafrann þinn á lén sem er svikari eins og https://example.com/ er tiltölulega auðvelt ef glæpamaður getur tímabundið blekkt vafrann þinn til að nota ranga IP tölu fyrir example.com ríki.

En að lokka þig til https:/example.com/ þýðir að árásarmaðurinn þarf líka að koma með sannfærandi falsað vefvottorð, til að veita sviksamlega staðfestingu á netþjóni, sem er mun erfiðara að gera.

Til að koma í veg fyrir árás af þessu tagi ætti að merkja smákökur sem eru ekki opinberar (annaðhvort vegna persónuverndar eða aðgangsstýringar) Secure í HTTP hausnum sem er sendur þegar þeir eru stilltir, svona:

Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Öruggt

… í staðinn fyrir einfaldlega:

Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL

Hvað á að gera?

  • Ef þú ert með ASUS beini sem er fyrir áhrifum (listinn er hér), plástra eins fljótt og þú getur. Bara vegna þess að ASUS lét það eftir um ókomna tíð til að fá plástrana til þín þýðir ekki að þú getir tekið eins langan tíma og þú vilt að setja þá á, sérstaklega núna þar sem villurnar sem um ræðir eru opinberar skrár.
  • Ef þú getur ekki plástrað í einu, loka fyrir allan aðgang að leiðinni á leiðinni þangað til þú getur beitt uppfærslunni. Athugaðu að það er ekki nóg að koma í veg fyrir HTTP eða HTTPS tengingar (umferð á vefnum). ASUS varar beinlínis við því að allar komandi netbeiðnir gætu verið misnotaðar, þannig að jafnvel þarf að loka fyrir framsendingu hafna (td fyrir leiki) og VPN-aðgang.
  • Ef þú ert forritari, hreinsaðu inntakið þitt (til að koma í veg fyrir innspýtingarvillur og minnisflæði), ekki bíða í mánuði eða ár með að senda plástra fyrir stigahækkandi villur til viðskiptavina þinna og skoðaðu HTTP hausana þína til að tryggja að þú notir öruggustu valkostina og mögulegt er þegar skipt er á mikilvægum gögnum eins og auðkenningartáknum.
blettur_img

Nýjasta upplýsingaöflun

blettur_img

Höfundarréttur @ 2024 Plato Technologies Inc.