Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

ASUS warnt Router-Kunden: Jetzt patchen oder alle eingehenden Anfragen blockieren

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 87
by Paul Ducklin

ASUS ist ein bekannter Hersteller beliebter Elektronikprodukte, von Laptops und Telefonen bis hin zu Heimroutern und Grafikkarten.

Diese Woche veröffentlichte das Unternehmen Firmware-Updates für eine breite Palette seiner Heimrouter, zusammen mit a starke Warnung Wenn Sie derzeit nicht bereit oder in der Lage sind, Ihre Firmware zu aktualisieren, müssen Sie Folgendes tun:

[Deaktivieren] Sie Dienste, auf die von der WAN-Seite aus zugegriffen werden kann, um mögliche unerwünschte Eingriffe zu vermeiden. Zu diesen Diensten gehören Fernzugriff über WAN, Portweiterleitung, DDNS, VPN-Server, DMZ und Port-Trigger.

Wir gehen davon aus, dass ASUS damit rechnet, dass sich potenzielle Angreifer nach der Veröffentlichung einer langen Liste von Fehlerbehebungen damit beschäftigen, exponierte Geräte zu untersuchen.

(Natürlich könnten gut informierte Angreifer bereits von einigen, vielen oder allen dieser Lücken gewusst haben, aber uns sind keine Zero-Day-Exploits in freier Wildbahn bekannt.)

Wie wir bereits bei Naked Security erwähnt haben, sind Exploits oft viel einfacher zu erkennen, wenn Sie Wegweiser haben, die Ihnen sagen, wo Sie suchen müssen …

…so wie es viel schneller und einfacher ist, eine Nadel im Heuhaufen zu finden, wenn Ihnen jemand sagt, in welchem ​​Ballen sie sich befindet, bevor Sie beginnen.

Tun Sie, was wir sagen, nicht was wir tun.

Für ASUS-Kunden ist es vielleicht ärgerlich, dass zwei der jetzt behobenen Schwachstellen schon seit langer Zeit auf einen Patch warten.

Beide haben einen „Gefahrenwert“ von 9.8/10 und die Einstufung „KRITISCH“ im US NVD bzw Nationale Datenbank für Sicherheitslücken (von uns paraphrasierte Berichte):

  • CVE-2022-26376. Speicherbeschädigung in der httpd-Unescape-Funktionalität. Eine speziell gestaltete HTTP-Anfrage kann zu einer Speicherbeschädigung führen. Ein Angreifer kann eine Netzwerkanfrage senden, um diese Sicherheitslücke auszulösen. (Grundpunktzahl: 9.8 KRITISCH.)
  • CVE-2018-1160. Netatalk vor 3.1.12 [veröffentlicht am 2018] anfällig für einen Schreibvorgang außerhalb der Grenzen. Dies ist darauf zurückzuführen, dass die vom Angreifer kontrollierten Daten nicht ausreichend kontrolliert werden. Ein nicht authentifizierter Angreifer aus der Ferne kann diese Schwachstelle ausnutzen, um die Ausführung willkürlichen Codes zu erreichen. (Grundpunktzahl: 9.8 KRITISCH.)

Erklären.

Netzgespräch ist eine Softwarekomponente, die Netzwerke im Apple-Stil unterstützt. Dies bedeutet jedoch nicht, dass ein Angreifer einen Macintosh-Computer oder Apple-Software verwenden muss, um den Fehler auszulösen.

Da für einen erfolgreichen Exploit absichtlich manipulierte Netzwerkdaten erforderlich wären, würde legitime Netatalk-Client-Software diese Aufgabe wahrscheinlich ohnehin nicht erfüllen, sodass ein Angreifer benutzerdefinierten Code verwenden würde und theoretisch von jedem Betriebssystem auf jedem Computer aus einen Angriff starten könnte mit einer Netzwerkverbindung.

HTTP entkommen und nicht entkommen wird immer dann benötigt, wenn eine URL ein Datenzeichen enthält, das nicht direkt im Text der URL dargestellt werden kann.

Beispielsweise dürfen URLs keine Leerzeichen enthalten (um sicherzustellen, dass sie immer einen einzelnen, zusammenhängenden Teil des druckbaren Textes bilden). Wenn Sie also auf einen Benutzernamen oder eine Datei verweisen möchten, die ein Leerzeichen enthält, müssen Sie dies tun Flucht das Leerzeichen, indem es in ein Prozentzeichen umgewandelt wird, gefolgt von seinem ASCII-Code im Hexadezimalformat (0x20 oder 32 im Dezimalformat).

Da dies dem Prozentzeichen selbst eine besondere Bedeutung verleiht, muss es ebenfalls als Prozentzeichen geschrieben werden (%), gefolgt von seinem ASCII-Code (0x25 in Hexadezimalzahl oder 37 in Dezimalzahl), ebenso wie andere Zeichen, die in URLs eindeutig verwendet werden, wie z. B. Doppelpunkte (:), Schrägstrich (/), Fragezeichen (?) und kaufmännisches Und (&).

Nach dem Empfang durch einen Webserver (das Programm, das als bezeichnet wird) httpd in den CVE-Informationen oben), alle Escape-Zeichen sind nicht entkommen indem sie von ihrer prozentcodierten Form in die ursprünglichen Textzeichen zurückkonvertiert werden.

Warum ASUS so lange brauchte, um diese speziellen Fehler zu beheben, wird in der offiziellen Empfehlung des Unternehmens nicht erwähnt, aber der Umgang mit HTTP-„Escape-Codes“ ist ein grundlegender Bestandteil jeder Software, die Web-URLs abhört und verwendet.

Andere CVE-gelistete Fehler behoben

  • CVE-2022-35401. Authentifizierung umgehen. Eine speziell gestaltete HTTP-Anfrage kann zu einem vollständigen Administratorzugriff auf das Gerät führen. Um diese Sicherheitslücke auszunutzen, müsste ein Angreifer eine Reihe von HTTP-Anfragen senden. (Grundpunktzahl: 8.1 HOCH.)
  • CVE-2022-38105. Offenlegung von Informationen. Speziell gestaltete Netzwerkpakete können zur Offenlegung sensibler Informationen führen. Ein Angreifer kann eine Netzwerkanfrage senden, um diese Sicherheitslücke auszulösen. (Grundpunktzahl: 7.5 HOCH.)
  • CVE-2022-38393. Denial-of-Service (DoS). Ein speziell gestaltetes Netzwerkpaket kann zu einem Denial-of-Service führen. Ein Angreifer kann ein bösartiges Paket senden, um diese Sicherheitslücke auszulösen. (Grundpunktzahl: 7.5 HOCH.)
  • CVE-2022-46871. Potenziell ausnutzbare Fehler im Open Source libusrsctp Bibliothek. SCTP steht für Stream Control Transmission Protocol. (Grundpunktzahl: 8.8 HOCH.)
  • CVE-2023-28702. Ungefilterte Sonderzeichen in URLs. Ein Remote-Angreifer mit normalen Benutzerrechten kann diese Schwachstelle ausnutzen, um Command-Injection-Angriffe durchzuführen, um beliebige Systembefehle auszuführen, das System zu stören oder den Dienst zu beenden. (Grundpunktzahl: 8.8 HOCH.)
  • CVE-2023-28703. Pufferüberlauf. Ein Remote-Angreifer mit Administratorrechten kann diese Schwachstelle ausnutzen, um beliebige Systembefehle auszuführen, das System zu stören oder den Dienst zu beenden. (Grundpunktzahl: 7.2 HOCH.)
  • CVE-2023-31195. Session-Hijack. Sensible Cookies werden ohne Verwendung verwendet Secure Attributsatz. Ein Angreifer könnte einen gefälschten HTTP-Weblink (unverschlüsselt) verwenden, um Authentifizierungstoken zu kapern, die nicht unverschlüsselt übertragen werden sollten. (KEINE ERGEBNISSE.)

Der vielleicht bemerkenswerteste Fehler in dieser Liste ist CVE-2023-28702, ein Command-Injection-Angriff, der ähnlich klingt wie MOVEit-Fehler Das war in letzter Zeit überall in den Nachrichten.

Wie wir im Zuge des MOVEit-Fehlers erklärt haben, handelt es sich um einen Befehlsparameter, der in einer Web-URL gesendet wird, beispielsweise eine Anfrage, die den Server auffordert, Sie als Benutzer anzumelden DUCK, kann nicht direkt an einen Befehl auf Systemebene übergeben werden, indem blind und vertrauensvoll Rohtext von der URL kopiert wird.

Mit anderen Worten, die Anfrage:

https://example.com/?user=DUCK

…kann nicht einfach über einen direkten „Kopieren-und-Einfügen“-Vorgang in einen Systembefehl umgewandelt werden, wie zum Beispiel:

checkuser --name=DUCK

Andernfalls könnte ein Angreifer versuchen, sich wie folgt anzumelden:

https://example.com/?user=DUCK;halt

…und das System dazu verleiten, den folgenden Befehl auszuführen:

checkuser --name=DUCK;halt

…was dasselbe ist, als würden Sie die beiden folgenden separaten Befehle nacheinander ausgeben:

checkuser --name=DUCK halt

…wobei der Befehl in der zweiten Zeile den gesamten Server herunterfährt.

(Das Semikolon dient als Befehlstrennzeichen und nicht als Teil der Befehlszeilenargumente.)

Hijacking-Sitzung

Ein weiterer besorgniserregender Fehler ist das Session-Hijack-Problem, das durch verursacht wird CVE-2023-31195.

Wie Sie wahrscheinlich wissen, verarbeiten Server häufig webbasierte Anmeldungen, indem sie ein sogenanntes Sitzungscookie an Ihren Browser senden, um anzuzeigen, dass „jemand, der dieses Cookie kennt, davon ausgeht, dass es sich um dieselbe Person handelt, die sich gerade angemeldet hat“.

Solange der Server Ihnen eines dieser magischen Cookies erst dann gibt, wenn Sie sich identifiziert haben, beispielsweise durch Angabe eines Benutzernamens, eines passenden Passworts und eines gültigen 2FA-Codes, muss ein Angreifer Ihre Anmeldedaten kennen Lassen Sie sich zunächst als Sie selbst authentifizieren.

Und solange weder der Server noch Ihr Browser jemals versehentlich das magische Cookie über eine nicht-TLS-verschlüsselte, einfache alte HTTP-Verbindung sendet, kann ein Angreifer Ihren Browser nicht einfach auf einen betrügerischen Server locken, der stattdessen HTTP verwendet von HTTPS zu nutzen und somit das Cookie aus der abgefangenen Webanfrage auszulesen.

Denken Sie daran, Ihren Browser auf eine betrügerische Domain zu locken, z http://example.com/ ist vergleichsweise einfach, wenn ein Betrüger Ihren Browser vorübergehend dazu verleiten kann, die falsche IP-Nummer für das zu verwenden example.com Domäne.

Aber lockt dich dazu https:/example.com/ bedeutet, dass der Angreifer auch ein überzeugend gefälschtes Webzertifikat erstellen muss, um eine betrügerische Servervalidierung durchzuführen, was viel schwieriger ist.

Um diese Art von Angriffen zu verhindern, sollten Cookies, die nicht öffentlich sind (entweder aus Gründen der Privatsphäre oder der Zugriffskontrolle), gekennzeichnet werden Secure im HTTP-Header, der beim Setzen übertragen wird, wie folgt:

Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Sicher

…statt einfach:

Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL

Was ist zu tun?

  • Wenn Sie einen betroffenen ASUS-Router haben (Die Liste ist hier), patchen Sie so schnell wie möglich. Nur weil ASUS lange Zeit damit verbracht hat, Ihnen die Patches zu liefern, bedeutet das nicht, dass Sie sich so lange Zeit lassen können, wie Sie möchten, sie anzuwenden, insbesondere jetzt, wo die damit verbundenen Fehler öffentlich bekannt sind.
  • Wenn Sie nicht sofort patchen können, Blockieren Sie den gesamten eingehenden Zugriff auf Ihren Router, bis Sie das Update anwenden können. Beachten Sie, dass das bloße Verhindern von HTTP- oder HTTPS-Verbindungen (webbasierter Datenverkehr) nicht ausreicht. ASUS weist ausdrücklich darauf hin, dass eingehende Netzwerkanfragen missbraucht werden könnten, sodass sogar Portweiterleitungen (z. B. für Spiele) und VPN-Zugriffe komplett gesperrt werden müssen.
  • Wenn Sie ein Programmierer sind, Bereinigen Sie Ihre Eingaben (um Befehlsinjektionsfehler und Speicherüberläufe zu vermeiden), warten Sie nicht Monate oder Jahre, um Patches für Fehler mit hoher Bewertung an Ihre Kunden zu versenden, und überprüfen Sie Ihre HTTP-Header, um sicherzustellen, dass Sie die sichersten Optionen verwenden, die möglich sind beim Austausch kritischer Daten wie Authentifizierungstokens.
spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.