Gli utenti di HAProxy 2.0 e versioni precedenti sono invitati a inviare aggiornamenti dopo che è stata rilevata una vulnerabilità che potrebbe consentire “a un utente malintenzionato di ignorare il controllo di un'intestazione HTTP Content-Length duplicata, consentendo un richiedere un attacco di contrabbando o un attacco che divide la risposta.”
“La nostra analisi ha confermato che la duplicazione si ottiene utilizzando il layout di memoria della rappresentazione interna di HAProxy di un messaggio HTTP per inserire un carattere selezionato dal nome dell'intestazione al suo valore”, ha spiegato HAProxy in un blog.
“A causa della difficoltà nell'eseguire un tale attacco, il rischio è basso.”
HAProxy ha fornito un elenco delle versioni interessate e delle versioni corrette, fornendo anche una soluzione alternativa per coloro che non sono in grado di aggiornare immediatamente .
La vulnerabilità è stata annunciata all'inizio di questa settimana dai ricercatori di JFrog, che hanno pubblicato un rapporto sul problema.
I ricercatori di JFrog Ori Hollander e Or Peles hanno scritto che CVE-2021-40346 è una vulnerabilità di Integer Overflow che rende possibile condurre un attacco HTTP Request Smuggling, spiegando che ha un punteggio CVSSv3 di 8.6.
“Questo attacco consente a un avversario di “trasportare” richieste HTTP al server di backend, senza che il server proxy ne sia consapevole”, hanno affermato i ricercatori, elogiando il CTO di HAProxy Willy Tarreau e il loro team di sicurezza per “prontamente e gestire professionalmente questo problema.”
Tarreau ha rilasciato la sua nota sulla questione, ringraziando JFrog per il loro lavoro.
“Onestamente hanno fatto un ottimo lavoro nell'individuare questo perché non capita tutti i giorni di riuscire a trasformare un singolo bit traboccare in una richiesta extra, e immaginando che ciò richiedesse di scavare in profondità negli strati”, ha detto Tarreau.
Yaniv Bar-Dayan, CEO di Vulcan Cyber, ha affermato che il software di bilanciamento del carico HAProxy è “uno dei componenti più comunemente usati della nostra era digitale”, definendolo “impianto idraulico utilizzato per costruire l'infrastruttura dietro il Web”. Bar-Dayan ha spiegato che è distribuito con sistemi operativi Linux e da fornitori di servizi cloud, ed è utilizzato in produzione da alcuni dei più grandi servizi e applicazioni web del mondo.
“Questa vulnerabilità ha il potenziale per avere un impatto diffuso, ma fortunatamente ci sono molti modi per mitigare il rischio rappresentato da questa vulnerabilità HAProxy e molto probabilmente molti utenti hanno già adottato le misure necessarie per proteggere stessi”, ha detto Bar-Dayan a ZDNet.
“CVE-2021-40346 è mitigato se HAProxy è stato aggiornato a una delle ultime quattro versioni del software. Come con la maggior parte delle vulnerabilità, CVE-2021-40346 non può essere sfruttato senza una grave negligenza dell'utente. Il team HAProxy è stato responsabile nella gestione del bug. Molto probabilmente il cloud istituzionale e i servizi applicativi che utilizzano HAProxy nel loro stack hanno già applicato aggiornamenti o apportato le necessarie modifiche alla configurazione. Ora spetta a tutti gli utenti HAProxy eseguire un efficace programma di correzione delle vulnerabilità per proteggere le loro attività da questa minaccia molto reale.”
Michael Isbitski, evangelista tecnico di Salt Security, ha aggiunto che HAProxy è un componente infrastrutturale multiuso basato su software in grado di soddisfare una serie di funzioni di rete, incluso il carico bilanciatore, controller di consegna, terminazione SSL/TLS, server web, server proxy e mediatore API.
“È una scelta popolare open source gratuita insieme a F5 NGINX. Le implementazioni di HAProxy sono importanti in molte reti organizzative e nell'Internet collettivo”, ha affermato Isbitski.
“A seconda di come viene distribuita una determinata istanza HAProxy, i potenziali rischi includono il dirottamento della sessione utente, il bypass dell'autorizzazione, l'esposizione di dati sensibili, l'esecuzione di comandi non autorizzati e la modifica dei dati non autorizzati.”
Altri esperti, come il vicepresidente di NTT Application Security Setu Kulkarni, hanno notato che HAProxy ha oltre 500 milioni di download da dockerhub e per un avversario, prendere di mira componenti critici così ampiamente utilizzati che sono open source è un'opzione redditizia, ha affermato Kulkarni.
“Con l'accesso al codice, ora possono eseguire test di sicurezza delle applicazioni statiche per determinare i punti deboli e, una volta individuata una potenziale vulnerabilità da sfruttare, possono eseguire attacchi su larga scala. Nel caso di HAProxy, la chiave è eseguire l'aggiornamento a l'ultima versione del pacchetto software in cui è stata risolta la vulnerabilità: l'onere di questa attività deve essere condiviso equamente dai team DevOps, SecOps e RunOps per garantire che il sistema continui a rimanere operativo come componente critico durante l'aggiornamento di HAProxy “, ha detto Kulkarni.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 