【漏洞通告】curl SOCKS5 堆缓冲区溢出

近日,亚信安全CERT监测到curl项目组发布了curl SOCKS5 存在堆溢出漏洞的安全公告,该漏洞同时影响curl命令行工具和libcurl库部分版本。当使用curl请求目标主机过程中使用SOCKS5代理时,如果目标主机名大于255字节,curl会使用本地解析主机代替远程解析造成堆缓冲区溢出。

libcurl是一个跨平台的网络协议库,支持http、https、ftp、gopher、telnet、dict、file和ldap协议。 libcurl同样支持HTTPS证书授权,HTTP POST、HTTP PUT、FTP 上传、HTTP基本表单上传、代理、cookies和用户认证。libcurl 用于提供处理网络通信和数据传输的 Api 接口。

鉴于curl和libcurl库使用广泛,亚信安全应急响应中心建议广大客户排查受影响产品,但该漏洞利用条件较为苛刻,如暂时无法升级的客户,可以通过亚信安全提供的临时方案或对应产品进行防护。

 

二、漏洞编号

CVE-2023-38545

 

三、漏洞类型

代码执行

 

四、漏洞等级

高危

 

五、受影响的版本

 

六、漏洞利用条件

  • libcurl库,以下任一条件

o    CURLOPT_PROXYTYPE 设置为CURLPROXY_SOCKS5_HOSTNAME,如:curl_easy_setopt(handle, CURLOPT_PROXYTYPE, CURLPROXY_SOCKS5_HOSTNAME)

o    CURLOPT_PROXY 或CURLOPT_PRE_PROXY使用socks5h://代理地址,如:curl_easy_setopt(handle, CURLOPT_PROXY, "socks5h://...")

o    代理环境变量设置为 socks5h://

  • curl命令行工具(版本,以下任一条件)

o    使用--socks5-hostname参数

o    使用-x参数值为socks5h://格式

o    代理环境变量设置为 socks5h://

  • curl命令行工具(版本)

o    在7.x版本利用条件上,CURLOPT_BUFFERSIZE未设置或者通过设置--limit-rate值小于65541

 

七、漏洞状态

漏洞细节 漏洞PoC 漏洞EXP 在野利用
已公开 已公开 未公开 未发现

 

八、受影响版本排查

  • curl

o    使用curl -V查看curl版本信息

o    针对系统环境curl可以使用curl -V | egrep -o '^curl [678]+\.[0-9]+\.[0-9]+'查看版本信息

o    针对进程中的curl可以使用strings curl | egrep -o '^curl [678]+\.[0-9]+\.[0-9]+'查看版本信息

  • libcurl库

o    针对系统 lib 目录及应用目录中的文件分析,如strings libcurl.so | egrep -o 'libcurl[ -/]([678]+\.[0-9]+\.[0-9]+)'

o    针对运行中的应用可以通过分析进程打开文件来判断,如sudo lsof | egrep -o '/.\.so.*' | xargs -I {} bash -c "strings {} | egrep -o 'libcurl[ -/]([678]+\.[0-9]+\.[0-9]+)'"

 

九、修复建议

建议受影响用户升级至 curl >= 8.4.0

暂时无法升级的用户建议:

  • 不要将curlCURLPROXY_SOCKS5_HOSTNAME代理一起使用
  • 不要将代理环境变量设置为socks5h://

 

十、参考链接

1.  https://github.com/curl/curl/commit/fb4415d8aee6c1

2.  https://curl.se/docs/CVE-2023-38545.html

3.  https://access.redhat.com/security/cve/cve-2023-38545

4.  https://jfrog.com/blog/curl-libcurl-october-2023-vulns-all-you-need-to-know/

5.  https://www.tenable.com/blog/cve-2023-38545-cve-2023-38546-frequently-asked-questions-for-new-vulnerabilities-in-curl

 

阅读全文

Check Point 推出 Infinity 全球服务,助力实现端到端网络弹性

 

 2023-03-31 22:00 Posted on 日本
h      近日Check Point宣布推出Check Point Infinity 全球服务,这一全面的安全解决方案可为各种规模的企业提供从云端到网络再到端点全方位的系统保护。这项新服务能够将Check Point 的端到端安全服务扩展到 30 个领域,以便用户构建和增强其网络安全实践和控制能力,并实现网络弹性。

         世界经济论最近的一项调查显示,86% 的业务领导者认为未来两年内将会发生“影响深远的灾难性网络事件”,但 34% 的受访者表示其团队缺少网络安全人才。平均而言,各机构每周遭遇超过1,100 次网络攻击。SOC 运营管理的复杂性只会加剧这一挑战,致使公司抵御网络威胁的难度加大。Check Point Infinity 全球服务旨在通过提供端到端安全服务来填补这一缺口,从而帮助企业防御高级威胁,应对广泛的攻击,并增强其网络安全实践和控制。

Check Point 软件技术公司首席信息官兼技术服务副总裁Sharon Schusheim 表示:“各种规模的机构都难以密切监控日趋严峻的威胁形势和有效防止网络攻击。我们的客户和合作伙伴希望我们能够支持其构建网络弹性策略。Check Point Infinity 全球服务以易于部署的形式提供了全面的综合性协同安全解决方案,有助于用户实施主动防御,第一时间拦截攻击。”
       Check Point Infinity 全球服务全球服务的全面端到端安全解决方案主要涉及以下四个方面,提供多达30 项主动服务:

01   评估 

加强用户从安全从业人员到首席信息安全官在内的安全团队的专业知识储备,其中包括网络和物联网风险评估、混合云安全蓝图及零信任最佳实践。  

02   优化 

通过SOC 即服务、网络弹性即服务、安全开发和优化及托管云 CSPM,支持将威胁防范纳入网络防御。

03  精通  

通过云安全训练营、CISO培训、网络知识计划及员工发展,优化企业的安全保护并扩展其团队的能力。

       

04  响应  

通过入侵评估、渗透测试、托管检测和响应及桌面演练等一系列旨在增强事件响应规划的服务,优化响应准备情况。

 Infinity 全球服务涵盖从威胁研究、MDR和风险评估到主动监控、专业服务和培训的方方面面,可自动将 IT 系统整合到单个易于管理的解决方案,同时接收实时威胁情报更新。
Softcat 有限公司托管网络服务部Paul Solomon 表示:“客户正在寻求整合并简化其网络安全解决方案,全新 Check Point Infinity 全球服务的推出可谓恰逢其时。作为 Check Point 的长期合作伙伴,我们期待帮助欧洲企业利用Infinity 全球服务来部署以预防为主的最佳网络安全防护。”
        除了在全球网络安全解决方案领域处于领先地位以外,Check Point 还在提供咨询、专业服务和托管服务方面有着超过 30 年的丰富经验,携手遍布全球的合作伙伴为全球数千家客户提供可靠服务。背靠300 多名网络专家,Check Point 解决方案覆盖从网络、云端到端点在内的广泛客户资产,并可无缝集成第三方产品,以实现业内最佳安全保护。

阅读全文

如何降低云身份带来的安全风险?

云计算的历史可以追溯到20世纪50年代,当时世界引入了具有大型机计算等技术的共享和分布式架构,例如IBM 701防御计算器。在随后的几年里,计算机科学家创新并引入了实用计算、网格计算和时间共享。

那些七十多年前播种的种子是云未来的决定性基石。今天,云基础设施正在成为企业的常态。麦肯锡报告称,到2024年,平均业务80%的IT支出将用于云技术。

云基础设施具有一系列好处,可以帮助企业在竞争激烈的环境中蓬勃发展。然而,像任何技术一样,它也有其复杂性和挑战,其中一些可能会造成深刻且不可挽回的损害。

对云的攻击

随着云计算市场预计到2030年的收入将超过15亿美元(2022年至2030年复合年增长率为15.7%),很容易将云采用故事想象为理想且没有问题。然而,事实是,经过蜜月阶段,如果没有专家的调解,云的采用可能会很困难。

在采用云基础设施后,各企业的IT部门突然无法完全控制其基础设施。他们曾经擅长的安全知识、技能、协议和流程不再相关或可转移。因此,数据泄露可能会以高频率发生,并产生更大的破坏性影响。

一组更不祥的统计数据显示,2022年全球数据泄露的平均成本为435万美元,令人震惊。这些漏洞中约有45%发生在基于云的基础设施上,而80%涉及特权滥用。滥用特权始于对身份的攻击。

身份:新的安全边界

访问权限(或授权)是复杂和分布式云基础设施中最有价值的货币。云基础设施中的不同身份具有不同的访问权限。其中一些身份是人类用户,有些可能是机器,其中一种或两种身份可能是内部的,也可能属于第三方提供商。

身份是新的安全边界,因为恶意行为者经常优先考虑他们。攻击者可以通过劫持身份并控制其访问权限,以最小的挑战绕过大多数安全措施。

不该做什么的案例研究

2019年,发生了一起数据泄露事件,暴露了超过1亿条客户记录,包括社会保障和银行账号等敏感信息。该漏洞是由公司AWS环境中配置错误的防火墙引起的,该防火墙允许攻击者访问该公司的云基础设施。

我们如何避免这种情况?

最小特权原则(PoLP)是IT和其他类似领域中一个古老的基本概念。事实上,你可以把它追溯到前数字时代。这是因为PoLP本质上意味着某个用户或身份应该只拥有执行特定任务所需的确切特权。任何额外的特权都是不必要的,也是有风险的。

我们听到了很多关于零信任安全模型的消息,每个用户或身份都需要定期进行彻底审查和身份验证,以保持访问权限。PoLP是零信任安全模型不可或缺的一部分。它有助于确保即使攻击者破坏了企业的系统,他们也不会有横向移动性来造成严重损害。

与今天的大多数事情一样,人力根本无法跟上保持竞争力和领先于恶意威胁所需的速度。因此,要通过识别所有身份的过度许可和权利大小权利来实施PoLP,需要某些强大的解决方案。

企业过去采用的身份安全解决方案包括安全断言标记语言(SAML)提供商、更强大的密码策略和多因素身份验证。然而,当我们考虑云授权时,我们需要一种不同的方法。进入云基础设施授权管理,或CIEM。

什么是CIEM?

CIEM(发音为“kim”)解决方案帮助云安全团队在复杂的多云基础设施中导航和管理授权。CIEM涉及将云身份的权限和特权缩减到最低限度。CIEM是关于将最小特权原则付诸实践,并为企业提供最终保护。

优化云授权对组织来说可能是一项繁琐的任务。为了对抗黑客日益熟练的提高,他们需要非常复杂和谨慎地执行此优化。此外,可能需要云提供商权限系统的专业知识,特别是对于更大、更复杂和分布式云基础设施。

CIEM的主要优势

1.能见度

如果企业没有可见性,即使是完美配置的云授权的安全潜力也可能无法实现。CIEM解决方案确保企业拥有所有权利的全景视图,使他们更容易监控、管理和调解云基础设施中的访问控制。可见性对于强大的安全性至关重要。

2.真正的跨云相关性

在多云环境中工作时,企业需要保持其基础设施组件之间的一致性。CIEM解决方案有助于在整个公司的云部署中统一与用户、设备和应用程序相关的所有身份。这种方法能够在所有云环境中实施一致的访问控制策略和单一的统一审计跟踪。

3.智能相关性和洞察力

高质量的人工智能驱动的数据分析可以改变游戏规则。CIEM解决方案分析和利用用户行为数据,根据趋势、模式和共性分配权限。这种方法使企业能够将用户分类为类似的组,并评估职责分离的必要性。此外,数据分析支持实施维护PoLP的最佳实践。

CIEM是如何工作的?

CIEM技术分析云身份,以揭示有关其特定权利如何授予的关键信息:直接、间接、通过信任关系、显式、隐式或不同的东西。通过这样做,CIEM可以识别哪些权利和权限有效,哪些权限无效。

云检测和响应(CDR)持续收集和检查来自云提要、工作负载和配置的智能数据。CDR系统可以通过检测可疑活动和威胁来快速响应云攻击。

当公司将CDR与CIEM一起使用时,他们受益于全面的可见性,以在监控云身份的行为的基础上检测、调查和缓解云中的威胁。这种监控旨在揭示正在使用哪些权限,以及该使用是否相关、安全和遵守规则。

CIEM测量授予的权限和使用方式之间的差距。通过这样做,他们揭示了根本不必要的权限,以及一些完全不安全的权限。CIEM帮助企业实现精简和安全协议,每个身份只能访问其真正需要的东西。

图1:检查点的CloudGuard CIEM在行动

CIEM解决方案提供的另一项宝贵服务是能够自动生成政策建议,以确保企业遵守最小特权原则。

结论

CIEM解决方案对于减少云身份带来的安全风险是必要的。然而,与任何安全措施一样,保护的质量完全取决于其实施质量以及是否使用专业支持和工具。

网络安全解决方案的领先提供商Check Point的专业知识正是企业将CIEM解决方案与责任、安全和对未来的敏锐关注相结合所需要的。

Check Point的CloudGuard CNAPP为企业提供了全面的方法和可操作的安全见解,涵盖公共云、工作负载、身份和应用程序。这是一个一体化的解决方案,涵盖CIEM、CSPM(云安全态势管理)、工作负载保护、API安全、威胁情报和管道安全。

此外,凭借CloudBots的力量,您可以通过自动修复检测到的威胁来降低安全风险。例如,当智能检测到异常行为(如异常登录尝试或对敏感数据的过度访问)时,云安全团队可以对CloudBots进行编程。

如果检测到威胁,机器人可以通过撤销安全凭据或访问权限来实时响应。此外,CloudBots可用于强制执行安全策略和程序,如密码复杂性要求,以确保云身份的安全。

阅读全文

新闻 | Check Point 被 Frost & Sullivan 评为云原生应用领域的领导者

     2022 年 2 月,Check Point 在 Frost Radar™ 2022 年全球云原生应用保护平台(CNAPP) 报告中被评为创新和研发领域的领导者,并因其“全面集成的左移云安全防护为DevOps 安全团队赋能”而获得广泛认可。

 

近日,Check Point在Frost Radar™ 2022 年全球云原生应用保护平台(CNAPP) 报告中被评为创新和研发领域的领导者,并因其“全面集成的左移云安全防护为DevOps 安全团队赋能”而获得广泛认可。

Frost Radar™ 是一套强大的分析工具,主要围绕两个关键指标来对行业内的公司进行评价:对持续创新的重视程度和将创新成果转化为持续业务增长的能力。Check Point 得到的评语是“一家强大的创新企业,有着清晰的战略,专注于云安全防护”。

Frost & Sullivan 行业负责人 Anh Tien Vu 表示:“Check Point 以其强大的网络安全产品组合为依托,在过去两年中采取了以云为中心的思路,推出了一款功能丰富的CNAPP 解决方案,支持客户通过一个统一平台有效保护其云资产、应用、网络和工作负载。”

此外,CloudGuard 还因其功能齐全的 CNAPP 而备受赞誉,该平台可提供深入的安全洞察,对风险进行优先级排序并防范严重攻击。另外值得一提的还有通过集成Spectral 产品而实现的全面左移安全性,这有助于企业快速解决问题,防止其危及生产环境。Spectral 以开发人员为先的创新工具扩展了 Check Point 的云解决方案,可为DevOps 安全团队赋能。

Check Point 软件技术公司云安全副总裁 TJ Gonen 表示:“在过去两年中,我们对 CNAPP 进行了多项增强,并致力于推出全新特性,以提供更多的上下文信息、实用的安全建议和更智能的修复。Check Point CloudGuard 正在为全球客户提供一流的全面安全防护。我们很荣幸在 Frost Radar™:全球 CNAPP 报告中被评为强大的创新者和增长领导者,这是对我们以预防为中心的安全设计的一大肯定。

Check Point CloudGuard 跨应用、工作负载和网络提供统一的云原生安全性,支持客户以云的速度和规模自动执行安全策略、防范威胁并管理安全状态。全球数千家客户(包括捷成集团、Eagers Automotive 等)都在利用 CloudGuard 统一其云原生安全策略,同时优化现代云部署。

阅读全文

新闻 | Check Point在2022纳斯达克ESG声誉排行榜位列前十

     近日,企业声望管理研究及咨询公司The RepTrak Company发布“2022纳斯达克100指数公司ESG声誉排行榜”(The RepTrak 2022 Nasdaq 100 ESG, Ranked)。排名依据各企业在声望指数中的ESG分数,共有70家公司上榜,Check Point 位列第十名!

 

作为全球网络安全领域的领导者,Check Point秉承“防御为先”的理念,凭借强硬的技术和在网安行业深耕三十年的经验,一致致力于推动网络安全行业的创新与发展,构建“全面、统一、协作”的网安体系,以前沿的AI技术支撑协助用户达成绿色、高质量、低成本的运营目标.

Check Point 一直不断创新,为用户提供更好的安全解决方案。这些解决方案不但提高了全球网络安全防护标准,也协助用户实现绿色可持续发展。而近日Check Point推出的一系列新技术、新产品更是践行了ESG理念。

Infinity Spark:适用于小型企业的高级威胁防护、集成连接和统一安全管理,针对用户量身定制的安全防护、连接和统一管理。Infinity Spark 通过业界领先的高级威胁防御和集成连接支持(包括 Wi-Fi 6、5G、SD-WAN 等)为中小型企业的电子邮件、终端、移动设备和网络提供企业级保护 - 所有这些保护功能均可通过直观简单且可扩展的统一安全管理仪表板进行管理

Infinity Spark

Quantum SD-WAN 软件刀片可将 Check Point 市场领先的威胁防护扩展到经过优化的互联网和网络连接。可以保护您的分支机构免受所有类型在线威胁的危害。得益于亚秒级故障转移和经过优化的策略,可以确保不再有 Zoom™ 中断,并从单一云平台获得全面的 SASE 解决方案。

Quantum SD-WAN

 
Horizon XDR/XPR 是业界唯一一款预防为先的经扩展的检测和响应平台,可以检测和预防电子邮件、云、网络和终端中的已知威胁及零日威胁。用户将通过协作、智能的 AI 关联为整个安全资产提供全面威胁防护。

Horizon XDR

CloudGuard CNAPP:在全面的云原生应用保护平台中提供更智能的防护。CNAPP 统一了云安全防护,融合了更深入的安全见解,可以确定风险的优先级并防止关键攻击,为用户提供切实可行的更智能的防护。

CloudGuard CNAPP

环境、社会和治理(ESG)是Check Point一直重视的理念,并积极参与世界环境治理、帮助用户践行可持续发展。

阅读全文

安全预警