Gebruikers van HAProxy 2.0 en eerdere versies wordt dringend verzocht updates door te voeren nadat een kwetsbaarheid is gevonden waardoor “een aanvaller de controle op een dubbele HTTP Content-Length-header kan omzeilen, waardoor een verzoek om een smokkelaanval of een aanval waarbij de respons wordt gesplitst.”
“Onze analyse bevestigde dat de duplicatie wordt bereikt door gebruik te maken van de geheugenlay-out van HAProxy's interne representatie van een HTTP-bericht om een geselecteerd teken van de naam van de header naar zijn waarde te laten glippen”, legt HAProxy uit in een blog.
“Vanwege de moeilijkheid om een dergelijke aanval uit te voeren, is het risico laag.”
HAProxy leverde een lijst met getroffen versies en vaste versies, terwijl het ook een tijdelijke oplossing bood voor degenen die niet meteen kunnen updaten .
De kwetsbaarheid werd eerder deze week aangekondigd door onderzoekers van JFrog, die een rapport over het probleem uitbrachten.
JFrog-onderzoekers Ori Hollander en Or Peles schreven dat CVE-2021-40346 een Integer Overflow-kwetsbaarheid is die het mogelijk maakt om een HTTP Request Smuggling-aanval uit te voeren, en legden uit dat het een CVSSv3-score van 8,6 heeft.
“Deze aanval stelt een aanvaller in staat HTTP-verzoeken naar de backend-server te 'smokkelen', zonder dat de proxyserver hiervan op de hoogte is”, aldus de onderzoekers. Ze prezen HAProxy CTO Willy Tarreau en hun beveiligingsteam en dit probleem professioneel af te handelen.”
Tarreau heeft zijn eigen notitie over de kwestie uitgebracht en JFrog bedankt voor hun werk.
“Eerlijk gezegd hebben ze uitstekend werk verricht door deze te spotten, want het is niet elke dag dat het je lukt om een bit te draaien overlopen in een extra verzoek, en denken dat dit nodig is om diep in de lagen te graven, “zei Tarreau.
Yaniv Bar-Dayan, CEO van Vulcan Cyber, zei dat de HAProxy-software voor load balancing “een van de meest gebruikte componenten van ons digitale tijdperk” is, en noemde het “loodgieterswerk dat wordt gebruikt om de infrastructuur achter het web te bouwen”. Bar-Dayan legde uit dat het wordt gedistribueerd met Linux-besturingssystemen en door cloudserviceproviders, en in productie wordt gebruikt door enkele van de grootste webservices en -applicaties ter wereld.
“Deze kwetsbaarheid heeft het potentieel om een wijdverbreide impact te hebben, maar gelukkig zijn er tal van manieren om het risico van deze HAProxy-kwetsbaarheid te beperken, en veel gebruikers hebben hoogstwaarschijnlijk al de nodige stappen genomen om te beschermen zichzelf”, vertelde Bar-Dayan aan ZDNet.
“CVE-2021-40346 wordt beperkt als HAProxy is bijgewerkt naar een van de laatste vier versies van de software. Zoals met de meeste kwetsbaarheden, kan CVE-2021-40346 niet worden misbruikt zonder ernstige nalatigheid van de gebruiker. Het HAProxy-team was verantwoordelijk in hun behandeling van de bug. Hoogstwaarschijnlijk hebben de institutionele cloud- en applicatieservices die HAProxy in hun stack gebruiken, upgrades toegepast of de vereiste configuratiewijzigingen doorgevoerd. Nu is het aan alle HAProxy-gebruikers om een effectief programma voor het oplossen van kwetsbaarheden uit te voeren om beschermen hun bedrijven tegen deze zeer reële bedreiging.”
Michael Isbitski, technisch evangelist bij Salt Security, voegde toe dat HAProxy een multifunctioneel, op software gebaseerd infrastructuuronderdeel is dat een aantal netwerkfuncties kan vervullen, waaronder balancer, delivery controller, SSL/TLS-beëindiging, webserver, proxyserver en API-mediator.
“Het is een populaire gratis open source-keuze, samen met F5 NGINX. HAProxy-implementaties zijn prominent aanwezig in veel organisatienetwerken en het collectieve internet”, zei Isbitski.
“Afhankelijk van hoe een bepaalde HAProxy-instantie wordt ingezet, omvatten mogelijke risico's het kapen van gebruikerssessies, autorisatie-bypassing, blootstelling aan gevoelige gegevens, ongeoorloofde uitvoering van opdrachten en ongeoorloofde wijziging van gegevens.”
Andere experts, zoals NTT Application Security vice-president Setu Kulkarni, merkten op dat HAProxy meer dan 500 miljoen downloads heeft van dockerhub en voor een tegenstander is het een lucratieve optie om dergelijke veelgebruikte kritieke componenten die open source zijn, te targeten, zei Kulkarni.
“Met toegang tot code kunnen ze nu vrijwel statische applicatiebeveiligingstests uitvoeren om zwakke punten te bepalen en zodra ze een potentiële kwetsbaarheid hebben gevonden om te misbruiken, kunnen ze grootschalige aanvallen uitvoeren. In het geval van HAProxy is de sleutel om te upgraden naar de nieuwste versie van het softwarepakket waarin de kwetsbaarheid is verholpen – de last van deze taak moet gelijkelijk worden verdeeld door DevOps-, SecOps- en RunOps-teams om ervoor te zorgen dat het systeem operationeel blijft als een kritiek onderdeel terwijl HAProxy wordt geüpgraded ', zei Kulkarni.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Cloudbeveiliging TV-gegevensbeheer CXO-datacenters 