Brugere af HAProxy 2.0 og tidligere versioner opfordres til at skubbe opdateringer igennem, efter at der blev fundet en sårbarhed, der kunne gøre det muligt for “en angriber at omgå kontrollen af et dubleret HTTP Content-Length-overskrift, hvilket tillader en anmode om smuglerangreb eller et reaktionsopdelt angreb. “
“Vores analyse bekræftede, at dobbeltarbejde opnås ved at gøre brug af hukommelseslayoutet for HAProxys interne repræsentation af en HTTP -besked til at glide et valgt tegn fra overskriftens navn til dets værdi,” forklarede HAProxy i en blog.
“På grund af vanskeligheden ved at udføre et sådant angreb er risikoen lav.”
HAProxy leverede en liste over berørte versioner og faste versioner, samtidig med at den giver en løsning for dem, der ikke er i stand til at opdatere med det samme .
Sårbarheden blev annonceret tidligere på ugen af forskere med JFrog, der offentliggjorde en rapport om problemet.
JFrog-forskere Ori Hollander og Or Peles skrev, at CVE-2021-40346 er en Integer Overflow-sårbarhed, der gør det muligt at udføre et HTTP Request Smuggling-angreb og forklarer, at det har en CVSSv3-score på 8,6.
“Dette angreb giver en modstander mulighed for at 'smugle' HTTP -anmodninger til backend -serveren, uden at proxyserveren er klar over det,” sagde forskerne og roste HAProxy CTO Willy Tarreau og deres sikkerhedsteam for “straks” og håndterer dette problem professionelt. “
Tarreau udgav sin egen note om spørgsmålet og takkede JFrog for deres arbejde.
“Helt ærligt har de gjort et fremragende stykke arbejde med at få øje på denne, fordi det ikke er hver dag, du formår at vende en single-bit flyde over i en ekstra anmodning og finde ud af, at dette var nødvendigt for at grave dybt ned i lagene, “sagde Tarreau.
Vulcan Cyber CEO Yaniv Bar-Dayan sagde, at HAProxy-belastningsafbalanceringssoftwaren er “en af de mest almindeligt anvendte komponenter i vores digitale tidsalder” og kalder det “VVS, der bruges til at bygge infrastrukturen bag internettet.” Bar-Dayan forklarede, at det distribueres med Linux-operativsystemer og af cloudtjenesteudbydere og bruges i produktionen af nogle af de største webtjenester og applikationer i verden.
“Denne sårbarhed har potentiale til at have stor indflydelse, men heldigvis er der masser af måder at reducere risikoen ved denne HAProxy-sårbarhed, og mange brugere har sandsynligvis allerede taget de nødvendige skridt til at beskytte sig selv, “sagde Bar-Dayan til ZDNet.
“CVE-2021-40346 formindskes, hvis HAProxy er blevet opdateret til en af de seneste fire versioner af softwaren. Ligesom med de fleste sårbarheder kan CVE-2021-40346 ikke udnyttes uden alvorlig bruger uagtsomhed. HAProxy-teamet har været ansvarlig i deres håndtering af fejlen. Mest sandsynligt har de institutionelle sky- og applikationstjenester, der bruger HAProxy i deres stak, enten anvendt opgraderinger eller foretaget de nødvendige konfigurationsændringer nu. Nu er det op til alle HAProxy -brugere at køre et effektivt sårbarhedsoprettelsesprogram til beskytte deres virksomheder mod denne meget reelle trussel. “
Michael Isbitski, teknisk evangelist hos Salt Security, tilføjede, at HAProxy er en multifunktionel, softwarebaseret infrastrukturkomponent, der kan opfylde en række netværksfunktioner, herunder belastning balancer, leveringskontroller, SSL/TLS -afslutning, webserver, proxyserver og API -formidler.
“Det er et populært gratis open source -valg sammen med F5 NGINX. HAProxy -implementeringer er fremtrædende i mange organisatoriske netværk og det kollektive internet,” sagde Isbitski.
“Afhængig af hvordan en given HAProxy -forekomst er implementeret, omfatter potentielle risici kapring af brugersessioner, omgåelse af autorisation, eksponering af følsomme data, uautoriseret kommandoudførelse og uautoriseret datamodificering.”
Andre eksperter, som f.eks. NTT Application Security, vicepræsident Setu Kulkarni, bemærkede, at HAProxy har over 500 millioner downloads fra dockerhub og for en modstander, der er målrettet mod så udbredte kritiske komponenter, der er open source, er en lukrativ mulighed, sagde Kulkarni.
“Med adgang til kode kan de nu stort set køre statiske applikationssikkerhedstests for at fastslå svagheder, og når de har fundet en potentiel sårbarhed at udnytte, kan de udføre store angreb. I tilfælde af HAProxy er nøglen at opgradere til den nyeste version af softwarepakken, hvor sårbarheden er rettet – byrden ved denne opgave skal deles lige af DevOps, SecOps og RunOps -teams for at sikre, at systemet fortsat fungerer som en kritisk komponent, da HAProxy opgraderes , “Sagde Kulkarni.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Cloud Security TV Datastyring CXO -datacentre 