Ben Dickson 17 Şubat 2023, 16:05 UTC
Güncellendi: 17 Şubat 2023, 16:07 UTC
Sömürü, saldırganların arka uç sunucularına erişmesini sağlayabilir
Popüler açık kaynak yük dengeleyici ve ters proxy olan HAProxy, saldırganların HTTP istek kaçakçılığı saldırıları düzenlemesine olanak tanıyan bir hatayı düzeltti.
Saldırgan, kötü amaçlarla oluşturulmuş bir HTTP isteği göndererek HAProxy’nin filtrelerini atlayabilir ve arka uç sunuculara yetkisiz erişim elde edebilir.
bırakılan başlıklar
HAProxy’nin bakımcısı Willy Tarreau tarafından yapılan bir bildirime göre, “düzgün hazırlanmış bir HTTP isteği, HAProxy’nin ayrıştırıldıktan ve en azından kısmen işlendikten sonra Bağlantı, İçerik-uzunluk, Aktarım-Kodlama, Ana Bilgisayar vb. gibi bazı önemli başlık alanlarını bırakmasına neden olabilir. onlara”.
Bu, HAProxy’nin kafasını karıştırabilir ve filtre uygulamadan arka uç sunucusuna istek göndermeye zorlayabilir.
Örneğin, HAProxy’nin belirli URL’ler için kimlik doğrulama kontrollerini atlamak veya saldırganların kısıtlı kaynaklara erişmesini sağlamak için kullanılabilir. Güvenlik açığından yararlanmak zor değil, ancak etkisi hedef web sunucusuna ve kaynaklarını korumak için HAProxy filtrelerine ne kadar güvendiğine bağlı.
Tarreau, “Yalnızca HTTP protokolü ve bir kaçakçılık saldırısının nasıl çalıştığı hakkında orta düzeyde bilgi gerektirir” dedi. günlük yudum.
“Her zamanki HTTP güvenlik açığı arayıcılarının bundan nasıl yararlanacaklarını hemen anlayacaklarını ve hipotezlerini doğrulamak için iki ila üç teste ihtiyaç duyacaklarını biliyorum, bu yüzden gerçekten gerekli değildi. [include] daha fazla detay.”
2019’dan beri mevcut olan hata
Güvenlik açığı, testler yapan Northeastern Üniversitesi, Akamai Technologies ve Google’daki bir grup araştırmacı tarafından bildirildi.
Tarreau, güvenlik açığının Haziran 2019’da piyasaya sürülen HAProxy’nin 2.0 sürümünden beri var olduğunu söyledi.
Tarreau, “İstemcide HTTP/1’i ve sunucuda HTTP/1’i destekleyen herhangi bir yapılandırma, sabit sürümde çalışmadığı veya önerdiğim geçici çözümü içermediği sürece savunmasızdır” dedi. “Dolayısıyla bu, açığa çıkan konuşlandırmaların %100’üne oldukça yakın.”
En son web güvenlik haberlerinin doğrudan gelen kutunuza gönderilmesini ister misiniz? Bültenimize buradan kaydolun
API ağ geçitleri gibi altyapıda daha derine dağıtılan örnekler, hiçbir uygulama veya ön proxy bu tür geçersiz istekler üretemeyeceği için risk altında değildir.
Tarreau, HAProxy’nin yedi sürümünü aktif olarak sürdürüyor ve hepsi için düzeltmeler yayınladı.
Tarreau, “Bir yük dengeleyici, bir altyapıdaki kritik bir bileşendir ve genellikle kullanıcılar kesinlikle gerekli olmadıkça veya yeni özelliklere ihtiyaç duymadıkça onu yükseltmek istemezler” dedi.
“Böylece, her kararlı sürümü beş yıl boyunca koruyoruz, böylece yenisini doğrulamak ve gerektiğinde yükseltmek için bolca zamanları oluyor.”
geçici çözüm
En son sürüme hemen yükseltme yapamayanlar için Tarreau, açıktan yararlanmanın neden olduğu dahili koşulları tespit ederek saldırıları engelleyen yapılandırma tabanlı geçici bir geçici çözüm sağladı.
Ve HAProxy’nin eski sürümlerini çalıştıranlar için Tarreau’nun bildirimi şu uyarıda bulunuyor: “Güncel olmayan bir sürüm kullanıyorsanız… kısa vadeli en iyi seçenek, hemen sonraki şubeye geçmek olacaktır; en az sürpriz veya değişiklik.
“Lütfen eski sürümlerden yükseltme yapmak için yardım istemeyin, beş yıl içinde güncellemeyi umursamadıysanız, yetişmeniz için kimsenin umurunda olması pek olası değildir.”
Güvenlik açığı, HAProxy’yi etkileyen ilk ciddi HTTP isteği kaçakçılığı kusuru değil. günlük yudum JFrog araştırmacıları tarafından Eylül 2021’de açıklanan, platformu etkileyen benzer bir sorun hakkında haber.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR OAuth ‘ustalık sınıfı’, 2022’nin en iyi web korsanlığı tekniğini taçlandırdı