curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

背景

Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。

10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-2023-38545是同时影响命令行工具curl和依赖库libcurl的高危漏洞,CVE-2023-38546是仅影响libcurl的低危漏洞。

截止当前还没有相关的漏洞细节公开,作者也认为噪声过多关闭了帖子的讨论。

curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

图1:curl的开发者 bagder 预告漏洞

风险预估

curl的广泛使用

Curl从1998年维护至今,已经成为HTTP请求命令行工具的事实标准,具有丰富的 Api 和 Abi(应用程序二进制接口),因此被广泛应用于需要网络传输的产品或设备中,如手机/平板、操作系统、服务器、医疗和物联网设备等。

curl/libcurl 还广泛应用于以下方面:

  • GitHub中有2.6万个相关的开源项目,墨菲安全分析发现其中php、shell、JavaScript、Python、C/C++项目中使用较多,在Java、Go、Ruby项目中使用较少;
curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

图2:curl/libcurl相关不同语言的开源代码仓库占比

  • 具有网络传输功能的客户端应用程序,如办公套件LibreOffice、火狐浏览器等;
  • 几乎所有的操作系统,如:Linux、Windows、macOS、iOS 和 Android等。

漏洞利用可能性与危害

  1. curl/libcurl 是网络请求的客户端,不像服务端一样常驻,相比于服务端往往会有利用窗口限制。
  2. 从历史漏洞上看,curl较为重视安全,漏洞评级给大家的直观感受是偏高的,当然也由于CVSS强调的是对其本身的评级,并不用于体现在实际环境中的危害性。
  3. 从历史curl的漏洞来看,漏洞利用成本普遍较高,成功利用往往需要具有目标系统本地操作权限、特定的配置或用户交互等较高的前置条件。
  4. 过往高危漏洞主要是缓冲区溢出类漏洞以及协议实现层面的逻辑漏洞,漏洞危害可能导致远程代码执行或者泄漏请求和响应数据。

应对策略

由于目前漏洞细节并未公开,建议可以提前排查使用到了curl/libcurl的业务,在相关漏洞细节公开后进一步根据具体的利用条件排查和修复。

通过对curl和libcurl的引入方式和文件分析,我们梳理了排查方式供参考:

快速排查方式

curl

从引入依赖的方式来看,通常应用中会通过系统命令直接调用curl,例如在shell中通过调用curl进行http请求。

此时需要考虑系统发行版中自带的curl,以及应用中可以打包包含的curl文件。

curl -V命令输出的banner信息可作为其特征:

$ curl -V
curl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.2.0) libssh/0.9.3/openssl/zlib nghttp2/1.40.0 librtmp/2.3
Release-Date: 2020-01-08

可以分别从进程和系统环境中排查:

  • 对于系统环境中的curl,可以通过curl -V | egrep -o '^curl [678]+.[0-9]+.[0-9]+'获取对应的版本
  • 对于进程中的curl,可以通过对文件进行识别,如strings curl | egrep -o '^curl [678]+.[0-9]+.[0-9]+'

libcurl

在libcurl中也存在相同的特征:

CLIENT libcurl 7.44.0-DEV
libcurl/7.44.0-DEV

libcurl通常以动态链接库的形式存在,如libcurl.so.4.8.0,应用依赖的libcurl,可能存在于系统lib目录,如/usr/lib/,也可能被应用直接打包进应用目录。

因此排查需要考虑:

  • 对系统lib目录及应用目录中的文件分析,如strings libcurl.so | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'
  • 运行中的应用可以通过分析进程打开文件来判断,如sudo lsof | egrep -o '/.*.so.*' | xargs -I {} bash -c "strings {} | egrep -o 'libcurl[ -/]([678]+.[0-9]+.[0-9]+)'"

libcurl典型依赖分析

典型的,在c/c++中cpr、curlpp、crub等项目、python中的pycurl、ruby中的typhoeus都提供了libcurl的封装。

针对国内企业典型的CentOS系统+Java应用环境,我们进行了分析。

依赖了libcurl的rpm包

我们爬取了所有的Centos官方发布的rpm包,通过解析构建文件识别libcurl依赖。目前已知以下包依赖了libcurl,后续我们会持续更新:

perl-WWW-Curl
certmonger
qemu-kvm-ma
devtoolset-10-elfutils
gstreamer1-plugins-bad-free
ceph
dotnet
git19-git
mariadb-connector-c
amanda
ipa
dotnet3.1
aide
qemu-kvm
rh-mysql80-mysql
rng-tools
geoipupdate
xmlrpc-c
thunderbird
sblim-sfcb
rh-git227-git
python-pycurl
rust
httpd24-mod_security
git
rh-git29-git
libgit2
dotnet3.0
systemd
libopenraw
rpm-ostree
gcc-toolset-11-elfutils
gcc-toolset-10-elfutils
libreoffice
firefox
dovecot
curl
gstreamer-plugins-bad-free
libvirt
rh-git218-git
createrepo_c
httpd24-curl
elfutils
glusterfs
devtoolset-10-gdb
rsyslog
dotnet5.0
ceph-common
libcmis
flatpak-builder
libquvi
rh-passenger40-passenger
compat-exiv2-026
sssd
fwupd
vorbis-tools
librepo
strongimcv
ruby193-rubygem-passenger40
rh-nginx18-nginx
tpm2-tools
httpd24-mod_md

maven中央仓库中直接包含libcurl的组件

我们爬取所有的maven中央仓库组件的jar包、aar包,解压后判断是否包含了libcurl.so文件,目前已知存在少数的包将libcurl打包进其中(后续持续更新):

org.danbrough.kotlinxtras:curlLinuxX64Binaries
org.danbrough.kotlinxtras:curlLinuxArm32HfpBinaries
org.danbrough.kotlinxtras:curlAndroidNativeX64Binaries
io.dldb.sdk:dldb-lib-no-cpp-shared
io.dldb.sdk:dldb-lib
org.danbrough.kotlinxtras:curlAndroidNativeArm32Binaries
org.danbrough.kotlinxtras:curlAndroidNativeX86Binaries
com.amazon.alexa.aace:alexa
org.danbrough.kotlinxtras:curlLinuxArm64Binaries
com.qiniu:qplayer2-core
org.danbrough.kotlinxtras:curlAndroidNativeArm64Binaries

参考链接

  • https://github.com/curl/curl/discussions/12026
  • https://curl.se/docs/security.html
  • https://daniel.haxx.se/blog/2021/12/03/why-curl-is-used-everywhere-even-on-mars/

本文转载自墨菲安全实验室,本文观点不代表墨知立场。

(0)
上一篇 2023年10月10日 下午12:00
下一篇 2023年10月11日 下午12:00

相关推荐

  • Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞 (CVE-2024-0519)

    漏洞类型 越界写入 发现时间 2024-01-17 漏洞等级 高危 MPS编号 MPS-bfqk-dgjp CVE编号 CVE-2024-0519 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。 Google Chrom…

    2024年1月17日
    0
  • Rhysida 勒索软件近期袭击了多家医疗机构

    Rhysida 勒索软件活动由于连续攻击医疗机构而引起了关注,导致政府机构和网络安全公司加强了对其操作的关注。美国卫生与公众服务部(HHS)、CheckPoint、Cisco Talos和Trend Micro均发布了有关Rhysida的报告,聚焦于威胁行为者操作的不同方面。之前在6月,Rhysida因从智利军队窃取的文件泄露而首次引起关注。初始分析显示其加…

    2023年8月11日
    0
  • OGC WPS 服务端请求伪造 (CVE-2023-43795)

    漏洞类型 SSRF 发现时间 2023-10-25 漏洞等级 高危 MPS编号 MPS-fie8-1z7r CVE编号 CVE-2023-43795 漏洞影响广度 一般 漏洞危害 OSCS 描述 OGC WPS 是一个允许通过网络请求执行各种地理信息任务的地理信息处理标准。 OGC WPS规范允许对外部URL进行引用,导致攻击者能构造恶意请求,引用恶意的外部…

    2023年10月25日
    0
  • PowerJob 未授权访问漏洞 (CVE-2023-36106)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-08-18 漏洞等级 中危 MPS编号 MPS-st3c-aw5x CVE编号 CVE-2023-36106 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做…

    2023年8月20日
    0
  • Coremail 远程命令执行漏洞 (MPS-mw17-2f3h)

    漏洞类型 命令注入 发现时间 2023-08-21 漏洞等级 严重 MPS编号 MPS-mw17-2f3h CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Coremail是广东盈世计算机科技有限公司推出的一款大型企业邮件系统。在 Coremail XT5/XT6 版本中,邮件处理功能存在溢出风险,攻击者构造恶意邮件,向任意邮箱地址…

    2023年8月22日
    0