Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

ASUS waarschuwt routerklanten: patch nu of blokkeer alle inkomende verzoeken

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 87
by Paul Ducklin

ASUS is een bekende maker van populaire elektronische producten, variërend van laptops en telefoons tot thuisrouters en grafische kaarten.

Deze week maakte het bedrijf bekend firmware-updates voor een breed scala van zijn thuisrouters, samen met een sterke waarschuwing dat als u uw firmware nu niet wilt of kunt bijwerken, u het volgende moet doen:

[Schakel] services toegankelijk vanaf de WAN-kant uit om mogelijke ongewenste inbraken te voorkomen. Deze services omvatten externe toegang vanaf WAN, port forwarding, DDNS, VPN-server, DMZ, port trigger.

We vermoeden dat ASUS verwacht dat potentiële aanvallers zich bezighouden met het onderzoeken van blootgestelde apparaten nu er een lange lijst met bugfixes is gepubliceerd.

(Natuurlijk wisten goed geïnformeerde aanvallers misschien al van sommige, vele of al deze gaten, maar we zijn niet op de hoogte van zero-day exploits in het wild.)

Zoals we al eerder hebben gezegd over Naked Security, zijn exploits vaak veel gemakkelijker te achterhalen als je wegwijzers hebt die je vertellen waar je moet zoeken...

...net zoals het veel sneller en gemakkelijker is om een ​​speld in een hooiberg te vinden als iemand je vertelt in welke baal hij zit voordat je begint.

Doe wat we zeggen, niet zoals we doen.

Vervelend voor ASUS-klanten, misschien, zijn twee van de nu gepatchte kwetsbaarheden al lang aan het wachten om te worden gepatcht.

Beide hebben een 9.8/10 "gevaarscore" en een KRITIEKE beoordeling in de Amerikaanse NVD, of Nationale kwetsbaarheidsdatabase (rapporten door ons geparafraseerd):

  • CVE-2022-26376. Geheugenbeschadiging in de httpd unescape-functionaliteit. Een speciaal vervaardigd HTTP-verzoek kan leiden tot geheugenbeschadiging. Een aanvaller kan een netwerkverzoek sturen om dit beveiligingslek te activeren. (Basisscore: 9.8 KRITIEK.)
  • CVE-2018-1160. Netatalk vóór 3.1.12 [uitgebracht op 2018-12-20] kwetsbaar voor schrijven buiten het bereik. Dit komt door een gebrek aan grenscontrole van door aanvallers gecontroleerde gegevens. Een niet-geverifieerde aanvaller op afstand kan dit beveiligingslek gebruiken om willekeurige code uit te voeren. (Basisscore: 9.8 KRITIEK.)

Uitleggen.

nettalk is een softwarecomponent die ondersteuning biedt voor netwerken in Apple-stijl, maar dit betekent niet dat een aanvaller een Macintosh-computer of Apple-software nodig heeft om de bug te activeren.

Aangezien een succesvolle exploit opzettelijk misvormde netwerkgegevens zou vereisen, zou legitieme Netatalk-clientsoftware waarschijnlijk toch niet werken, dus een aanvaller zou op maat gemaakte code gebruiken en theoretisch een aanval kunnen starten vanaf elk besturingssysteem op elke computer met een netwerkverbinding.

HTTP ontsnappen en niet ontsnappen is nodig wanneer een URL een gegevensteken bevat dat niet direct kan worden weergegeven in de tekst van de URL.

URL's mogen bijvoorbeeld geen spaties bevatten (om ervoor te zorgen dat ze altijd één aaneengesloten stuk afdrukbare tekst vormen), dus als u wilt verwijzen naar een gebruikersnaam of een bestand dat een spatie bevat, moet u ontsnappen het spatieteken door het om te zetten in een procentteken gevolgd door de ASCII-code in hexadecimaal (0x20, of 32 in decimaal).

Evenzo, omdat dit een speciale betekenis geeft aan het procentteken zelf, moet het ook worden geschreven als een procentteken (%) gevolgd door de ASCII-code (0x25 in hex, of 37 in decimaal), evenals andere karakters die kenmerkend in URL's worden gebruikt, zoals dubbele punt (:), schuine streep (/), vraagteken (?) en ampersand (&).

Eenmaal ontvangen door een webserver (het programma genaamd httpd in de CVE-informatie hierboven), zijn eventuele escape-tekens niet ontsnapt door ze terug te converteren van hun percentage-gecodeerde vormen naar de oorspronkelijke teksttekens.

Waarom ASUS er zo lang over deed om deze specifieke bugs te patchen, wordt niet vermeld in het officiële advies van het bedrijf, maar het omgaan met HTTP "escape-codes" is een fundamenteel onderdeel van elke software die naar web-URL's luistert en deze gebruikt.

Andere bugs op de CVE-lijst zijn gepatcht

  • CVE-2022-35401. Authenticatie omzeilen. Een speciaal vervaardigd HTTP-verzoek kan leiden tot volledige beheerderstoegang tot het apparaat. Een aanvaller zou een reeks HTTP-verzoeken moeten verzenden om dit beveiligingslek te misbruiken. (Basisscore: 8.1 HOOG.)
  • CVE-2022-38105. Vrijgeven van informatie. Speciaal vervaardigde netwerkpakketten kunnen leiden tot het vrijgeven van gevoelige informatie. Een aanvaller kan een netwerkverzoek sturen om dit beveiligingslek te activeren. (Basisscore: 7.5 HOOG.)
  • CVE-2022-38393. Denial-of-service (DoS). Een speciaal vervaardigd netwerkpakket kan leiden tot denial of service. Een aanvaller kan een kwaadaardig pakket verzenden om dit beveiligingslek te activeren. (Basisscore: 7.5 HOOG.)
  • CVE-2022-46871. Potentieel exploiteerbare bugs in de open-source libusrsctp bibliotheek. SCTP staat voor Stream Control Transmission Protocol. (Basisscore: 8.8 HOOG.)
  • CVE-2023-28702. Ongefilterde speciale tekens in URL's. Een externe aanvaller met normale gebruikersrechten kan dit beveiligingslek misbruiken om commando-injectie-aanvallen uit te voeren om willekeurige systeemopdrachten uit te voeren, het systeem te verstoren of de service te beëindigen. (Basisscore: 8.8 HOOG.)
  • CVE-2023-28703. Buffer overloop. Een externe aanvaller met beheerdersrechten kan dit beveiligingslek misbruiken om willekeurige systeemopdrachten uit te voeren, het systeem te verstoren of de service te beëindigen. (Basisscore: 7.2 HOOG.)
  • CVE-2023-31195. Sessie kaping. Gevoelige cookies gebruikt zonder de Secure attribuut ingesteld. Een aanvaller kan een valse HTTP-weblink (niet-versleuteld) gebruiken om authenticatietokens te kapen die niet onversleuteld mogen worden verzonden. (GEEN SCORE.)

Misschien wel de meest opvallende bug in deze lijst CVE-2023-28702, een commando-injectieaanval die lijkt op de MOVEit-bugs die de laatste tijd volop in het nieuws zijn.

Zoals we in het kielzog van de MOVEit-bug hebben uitgelegd, is een opdrachtparameter die in een web-URL wordt verzonden, bijvoorbeeld een verzoek om de server te vragen om u als gebruiker aan te melden DUCK, kan niet rechtstreeks worden doorgegeven aan een opdracht op systeemniveau door blindelings en vol vertrouwen onbewerkte tekst van de URL te kopiëren.

Met andere woorden, het verzoek:

https://example.com/?user=DUCK

…kan niet eenvoudig worden omgezet via een direct "kopieer-en-plak"-proces in een systeemcommando zoals:

checkuser --naam=DUCK

Anders kan een aanvaller proberen in te loggen als:

https://example.com/?user=DUCK;halt

... en verleid het systeem om de opdracht uit te voeren:

checkuser --name=DUCK;halt

... wat hetzelfde is als het achtereenvolgens geven van de twee afzonderlijke opdrachten hieronder:

checkuser --name=DUCK stop

...waar de opdracht op de tweede regel de hele server afsluit.

(De puntkomma fungeert als scheidingsteken voor opdrachten, niet als onderdeel van de opdrachtregelargumenten.)

Sessie kaping

Een andere zorgwekkende bug is het probleem met de sessiekaping dat wordt veroorzaakt door CVE-2023-31195.

Zoals u waarschijnlijk weet, behandelen servers webgebaseerde logins vaak door een zogenaamde sessiecookie naar uw browser te sturen om aan te geven dat "degene die deze cookie kent, wordt verondersteld dezelfde persoon te zijn die zojuist heeft ingelogd".

Zolang de server u een van deze magische cookies pas geeft nadat u zich heeft geïdentificeerd, bijvoorbeeld door een gebruikersnaam, een overeenkomend wachtwoord en een geldige 2FA-code te presenteren, moet een aanvaller uw inloggegevens weten om wordt in de eerste plaats geverifieerd als u.

En zolang noch de server, noch uw browser ooit per ongeluk de magische cookie verzendt via een niet-TLS, niet-versleutelde, gewoon oude HTTP-verbinding, zal een aanvaller uw browser niet gemakkelijk naar een bedriegerserver kunnen lokken die in plaats daarvan HTTP gebruikt van HTTPS, en zo de cookie uit het onderschepte webverzoek te lezen.

Vergeet niet dat het lokken van uw browser naar een bedriegerdomein zoals http://example.com/ is relatief eenvoudig als een boef uw browser tijdelijk kan misleiden om het verkeerde IP-nummer te gebruiken voor de example.com domein.

Maar je verleiden https:/example.com/ betekent dat de aanvaller ook een overtuigend vervalst webcertificaat moet bedenken om frauduleuze servervalidatie te bieden, wat veel moeilijker is.

Om dit soort aanvallen te voorkomen, moeten cookies die niet openbaar zijn (om redenen van privacy of toegangscontrole) worden geëtiketteerd Secure in de HTTP-header die wordt verzonden wanneer ze zijn ingesteld, zoals dit:

Set-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Zeker

…in plaats van simpelweg:

Set-cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL

Wat te doen?

  • Als u een getroffen ASUS-router heeft (de lijst is hier), patch zo snel mogelijk. Alleen omdat ASUS het eeuwenlang heeft gelaten om de patches bij u te krijgen, betekent niet dat u er zo lang over kunt doen als u wilt om ze toe te passen, vooral nu de betrokken bugs openbaar zijn.
  • Als u niet in één keer kunt patchen, blokkeer alle inkomende toegang tot uw router totdat u de update kunt toepassen. Houd er rekening mee dat alleen het voorkomen van HTTP- of HTTPS-verbindingen (webgebaseerd verkeer) niet voldoende is. ASUS waarschuwt expliciet dat inkomende netwerkverzoeken kunnen worden misbruikt, dus zelfs port forwarding (bijv. voor games) en VPN-toegang moeten ronduit worden geblokkeerd.
  • Als je een programmeur bent, zuiver uw invoer (om commando-injectie-bugs en geheugenoverflows te voorkomen), wacht geen maanden of jaren om patches voor hoog scorende bugs naar uw klanten te sturen, en controleer uw HTTP-headers om er zeker van te zijn dat u de meest veilige opties gebruikt bij het uitwisselen van kritieke gegevens zoals authenticatietokens.
spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.