Notícias

Servidores Squid sem correção expostos ao DoS, ataques de execução de código

Várias versões do servidor de cache proxy Squid web construído com recursos de Autenticação Básica estão atualmente vulneráveis ​​a ataques de execução de código e negação de serviço (DoS) desencadeados pela exploração de uma falha de segurança de estouro de buffer de pilha.

A vulnerabilidade presente no Squid 4.0.23 a 4.7 é causada pelo gerenciamento incorreto do buffer, que torna as instalações vulneráveis ​​”um estouro de heap e um possível ataque de execução remota de código ao processar credenciais de Autenticação HTTP”.

“Ao verificar a Autenticação Básica com HttpHeader :: getAuth, o Squid usa um buffer global para armazenar os dados decodificados”, diz a descrição da vulnerabilidade do MITRE. “O Squid não verifica se o comprimento decodificado não é maior que o buffer, levando a um estouro de buffer baseado em heap com dados controlados pelo usuário.”

A falha foi corrigida pela equipe de desenvolvimento do proxy da Web com o lançamento do Squid 4.8 em 9 de julho.

Alguns servidores não corrigidos expostos a ataques

Os invasores não autenticados remotamente podem explorar a falha rastreada como CVE-2019-12527 que vem com uma pontuação básica de 8.8 do CVSS v3.0 de alta gravidade, enviando uma solicitação especialmente criada a qualquer servidor de destino para executar código arbitrário ou causar o travamento do Squid, disparando um estado DoS.

“Um invasor remoto pode explorar esta vulnerabilidade enviando uma solicitação HTTP criada para o servidor de destino”, detalha a Equipe de Pesquisa da Trend Micro em um artigo sobre a cobertura CVE-2019-12527.

“A exploração bem sucedida fará com que o invasor possa executar código arbitrário com os privilégios do processo do servidor, enquanto um ataque malsucedido fará com que o processo do servidor termine de forma anormal.”

Felizmente, de acordo com o alerta de segurança publicado pela equipe de segurança do Squid em 12 de julho, após o patch, “este problema está limitado ao tráfego que acessa os relatórios do Squid Cache Manager ou usando o gateway do protocolo FTP”.

Além disso, apenas os não corrigidos “Squid-4.0.23 até e incluindo 4.7 construídos com recursos de autenticação básica são vulneráveis” a ataques.

Número de servidores Squid 4.7 não corrigidos por país
Número de servidores Squid 4.7 não corrigidos por país

O advisory de segurança do Squid recomenda as seguintes soluções alternativas para servidores que não podem ser corrigidos:

Deny ftp: // URLs de protocolo sendo intermediadas por proxy e o relatório do Gerenciador de Cache acessando todos os clientes:

    FTP FTP 
    Protect FTP http_access negar FTP 
    http_access deny gerente

Ou,

 Construa o Squid com –disable-auth-basic

Servidores ainda vulneráveis, mais duas falhas corrigidas

Apesar de a vulnerabilidade ter sido corrigida no início de julho, de um total de 2.776.255 de servidores Squid descobertos usando o mecanismo de busca Shodan, 31.576 ainda estão rodando 4,7 (a última versão vulnerável), com apenas 1.956 atualizados para o release 4.8 corrigido .

Para ter uma ideia do número de servidores potencialmente expostos a ataques, compilamos uma lista de todas as versões vulneráveis ​​do Squid e o número atual de servidores encontrados com o Shodan na tabela disponível abaixo.

Versão vulnerávelNúmero de servidores expostos
4.731576
4.61314
4.5108
4.47439
4.335
4.2885
4.12244
4.0.254
4.0.2478
4.0.23294
Número total de servidores não corrigidos43977

Embora nem todos os mais de 43.000 servidores considerados sem correção estejam vulneráveis, o número pode chegar facilmente a milhares, dependendo de quantos deles executam instalações que foram criadas com recursos de autenticação básica.

O lançamento do Squid 4.8 também corrigiu uma falha crítica rastreada como  CVE-2019-12525  encontrada em Squid 3.3.9 a 3.5.28 e 4.x a 4.7, e a severidade média  CVE-2019-12529  presente em Squid 2.x a 2.7 .STABLE9, 3.x a 3.5.28 e 4.x a 4.7.

Os atacantes remotos que exploram uma dessas duas falhas de segurança do Squid podem fazer com que os servidores do Squid alvo travem, acionando um estado DoS para todos os clientes que usam o proxy.

“O Squid é um servidor de cache de proxy de alto desempenho para clientes da Web, suportando objetos de dados FTP, gopher e HTTP”, diz seu wiki, “O Squid manipula todos os pedidos em um único processo não bloqueado de E / S sobre IPv4 ou IPv6. “

“O Squid mantém metadados e objetos especialmente quentes armazenados em cache na RAM, armazena em cache pesquisas de DNS, suporta pesquisas de DNS sem bloqueio e implementa o cache negativo de solicitações com falha.”

Fonte

Mais Lidas

To Top