Günlerdir siber güvenlik topluluğu, Curl’ün kurucusu Daniel Stenberg’e göre “uzun zamandır en kötü Curl güvenlik açığı” olan bir tanesini de içeren iki güvenlik açığı hakkındaki büyük açıklamayı endişeyle bekliyordu.
Curl, kelimenin tam anlamıyla milyarlarca uygulama örneğinde mevcut olan, çeşitli protokoller arasında dosya aktarımı için “orta adam” olarak kullanılan açık kaynaklı bir proxy çözümleme aracıdır. Devasa bir açık kaynak kitaplık kusurunun öne sürülmesi, 2021’deki yıkıcı log4j kusurunun anılarını uyandırdı. Cycode’un güvenlik araştırması başkanı Alex Ilgayev’in endişelendiği gibi, “curl kitaplığındaki güvenlik açığı Log4j olayından daha zorlayıcı olabilir iki Yıllar önce.”
Ancak bugün yamaların ve hata ayrıntılarının açıklanmasının ardından, her iki güvenlik açığı da bu kadar abartılı bir performans göstermedi.
Sınırlı Sayıda Curl Dağıtımını Etkilemek
CVE-2023-38545 kapsamında izlenen yığın tabanlı bir arabellek taşması kusuru olan ilk güvenlik açığına, veri bozulması ve hatta uzaktan kod yürütme (RCE) potansiyeli nedeniyle “yüksek” derecesi verildi. Danışmana göre sorun SOCKS5 proxy aktarımında yatıyor.
Tavsiye belgesinde, “Curl’ün, adresin curl tarafından yapılması yerine çözümlenmesine izin vermek için ana bilgisayar adını SOCKS5 proxy’sine iletmesi istendiğinde, ana bilgisayar adının olabileceği maksimum uzunluk 255 bayttır” belirtildi. “Ana bilgisayar adının 255 bayttan uzun olduğu tespit edilirse, curl yerel ad çözümlemeye geçer ve bunun yerine çözümlenen adresi yalnızca proxy’ye iletir.”
Hata, SOCKS5 anlaşması sırasında yanlış değerin dağıtılmasına izin verebilir.
“Bir hata nedeniyle, ‘ana bilgisayarın adı çözümlemesine izin ver’ anlamına gelen yerel değişken, yavaş bir SOCKS5 anlaşması sırasında yanlış değeri alabilir ve niyetin aksine, yalnızca ana makine adını kopyalamak yerine çok uzun ana bilgisayar adını hedef arabelleğe kopyalayın. adresi orada çözüldü,” diye ekledi danışma belgesi.
Ancak siber güvenlik uzmanı Jake Williams, yüksek önem derecesinin yalnızca dağıtımların bir kısmı için geçerli olduğunu söylüyor.
Williams, “Bu yalnızca çok sınırlı durumlarda yüksek şiddettedir” diyor. “Bence bu sadece bir kütüphane güvenlik açığına sahip olduğunuzda, kütüphanenin nasıl kullanıldığını bilmenizden kaynaklanan bir sorun. Uygulama için en kötü senaryoyu varsayarak CVE’yi atamanız gerekiyor.”
CVE-2023-38546 kapsamında takip edilen ikinci curl hatası, curl’un kendisini değil, yalnızca libcurl kütüphanesini etkileyen düşük önem dereceli bir çerez ekleme hatasıdır.
Andy Hornegold, kıvrılma hatası ayrıntılarının açıklanmasına tepki olarak yaptığı açıklamada, “Bunun güvenlik cihazları ve cihazlar (güvenilmeyen içerik getiren ve genellikle kıvrılma kullanan) için daha büyük bir sorun olduğunu düşünüyorum” dedi. “Bağımsız kullanım için büyük bir sorun olduğunu görmüyorum.”
Bir Çözümü Abartmanın Tehlikeleri
Siber güvenlik ekipleri için mide yanmasının ötesinde, teknik ayrıntılar açıklanmadan önce bir çözüme ulaşmak, tehdit aktörlerine kolay bir kazanç sağlayabilir. Bu örnekte Williams, RedHat’ın değişiklik günlüğünü resmi curl sürümünden önce güncellediğini, bunun siber saldırganlara yama yapılmamış hedefler hakkında önemli bilgiler verebileceğini, eğer güvenlik açığı daha önce varsayıldığı kadar tehlikeli olsaydı dikkat çekiyor.
Aslında Synopsys’ten Mike McGuire, curl güncellemesine artan ilginin tehlikelerini gördü ve 9 Ekim tarihli bir blogda bunun hakkında yazdı.
McGuire, “Güvenlik açığı hakkında ek ayrıntı olmamasına rağmen, tehdit aktörleri şüphesiz istismar girişimlerine başlayacaklardır” diye yazdı. “Ayrıca, saldırganların, savunmasız yazılımlara yama yapmak için çabalayan ekiplerin avantajından yararlanmak amacıyla, kötü amaçlı yazılımlarla dolu bir projenin sahte ‘sabit’ sürümlerini yayınlaması duyulmamış bir şey değil.”