Sie sind hier: Startseite » IT Security » Cyber-Angriffe

Schwachstelle für RCE praktisch unmöglich


JFrog analysiert CVE-2024-6197: Welches Risiko birgt die neue Curl- und Libcurl-Schwachstelle?
Um diese Sicherheitslücke zu beheben, wird Benutzern empfohlen, Curl und Libcurl auf Version 8.9.0 zu aktualisieren


Eine neue Schwachstelle, CVE-2024-6197, betrifft die Curl- und Libcurl-Versionen 8.6.0 bis 8.8.0. Der als Use-After-Free (UAF) klassifizierte Fehler tritt ungewöhnlicherweise auf dem Stack statt auf dem Heap auf und hat mit einem CVSS-Schweregrad von 7,5 erhebliche Aufmerksamkeit erregt. Analysen des Security Research Teams von JFrog deuten jedoch darauf hin, dass die Wahrscheinlichkeit einer praktischen Ausnutzung gering ist.

Technischer Hintergrund
CVE-2024-6197 ist eine stackbasierte UAF-Schwachstelle, die ausgelöst werden kann, wenn Curl oder Libcurl eine Verbindung zu einem bösartigen TLS-Server herstellt, der ein manipuliertes X.509-Zertifikat anbietet. Die Schwachstelle entsteht durch einen Fehler in der Libcurl-Funktion "utf8asn1str", die ASN.1-UTF-8-Zeichenfolgen aus Zertifikaten verarbeitet. Unter bestimmten Bedingungen versucht die Funktion, einen 4-Byte-Stack-Puffer freizugeben, was zum UAF-Szenario führt. Die meisten modernen Linux-Distributionen, darunter Debian, Ubuntu und Red Hat, verfügen jedoch über Schutzmaßnahmen, die einen Absturz verursachen, anstatt die Ausführung von Code zuzulassen. Dadurch wird die Wahrscheinlichkeit einer erfolgreichen Ausnutzung erheblich verringert.

Bedingungen für die Ausnutzung
Die Ausnutzung von CVE-2024-6197 erfordert eine spezifische Kette von Ereignissen:

>> Verbindung zu einem bösartigen TLS-Server: Der Server des Angreifers muss ein speziell erstelltes X.509-Zertifikat mit einem ungewöhnlichen Codierungstyp (UniversalString) anbieten, der bestimmte Zeichenanforderungen erfüllt.

>> Anfälliger Curl-Build: Curl muss mit Unterstützung für bestimmte TLS-Backends (GnuTLS, wolfSSL, Schannel, Secure Transport oder mbedTLS) erstellt werden, da mit OpenSSL erstellte Versionen immun sind.

>> Explizite Verwendung von "CURLINFO_CERTINFO": Die anfällige Funktion wird nur ausgelöst, wenn das Flag CURLINFO_CERTINFO in der Curl-Konfiguration aktiviert ist oder über bestimmte CLI-Flags aufgerufen wird (z. B. "--write-out ‚Prozentcerts‘").

Wahrscheinlichkeit einer Remote-Code-Ausführung (RCE)
Untersuchungen zeigen, dass die Ausnutzung dieser Schwachstelle für RCE praktisch unmöglich ist. Zu den wichtigsten Faktoren, die die Ausnutzung einschränken, gehören:

>> Stack-Integritätsprüfungen: Viele Linux-Distributionen enthalten Stack-Integritätsprüfungen (z. B. Glibc- und Musl libc-Implementierungen), die eine sofortige Beendigung des Prozesses verursachen, wenn ein Stack-Pointer fälschlicherweise freigegeben wird.
>> Begrenzte anfällige Setups: Die meisten gängigen Linux-Distributionen verwenden standardmäßig OpenSSL, das nicht betroffen ist. Darüber hinaus ist UniversalString eine veraltete Kodierung, die in Zertifikaten nur selten verwendet wird.
>> Abschwächung in Linux-Distributionen: Selbst wenn versucht wurde, die Sicherheitsanfälligkeit in Distributionen wie Alpine Linux 3.10 (bei der die C-Implementierung nicht abstürzt) zu erzwingen, schlugen Versuche, RCE zu erreichen, fehl. Anstatt die Kontrolle an den Angreifer abzugeben, stößt der Prozess auf einen Fehler, wodurch eine Beschädigung des Stacks verhindert wird.

Auswirkungen auf Benutzer
Angesichts dieser Faktoren beschränkt sich die primäre Auswirkung von CVE-2024-6197 auf Denial-of-Service-Angriffe (DoS). Bei erfolgreicher Auslösung kann der Curl-Client-Prozess abstürzen. Für die meisten Benutzer, insbesondere für Benutzer von Linux-Distributionen wie Ubuntu, Debian und Red Hat, ist es jedoch unwahrscheinlich, dass die Sicherheitsanfälligkeit Auswirkungen hat, da integrierte Schutzmaßnahmen vorhanden sind.

Behebung der Sicherheitslücke
Um diese Sicherheitslücke zu beheben, wird Benutzern empfohlen, Curl und Libcurl auf Version 8.9.0 zu aktualisieren. Dieses Update behebt den Fehler und stellt die Kompatibilität mit Sicherheits-Patches sicher, die von den wichtigsten Linux-Distributionen bereitgestellt werden. Viele Distributionen, darunter Ubuntu, Debian und Red Hat, haben bereits Updates herausgegeben. Benutzer sollten ihre Umgebungen auf anfällige Versionen (8.6.0 bis 8.8.0) überprüfen und bei Bedarf Sicherheitspatches anwenden.

Fazit
Trotz eines hohen CVSS-Scores von 7,5 erweist sich CVE-2024-6197 als deutlich weniger riskant als zunächst befürchtet. Die strikten Voraussetzungen für eine Ausnutzung sowie Abhilfemaßnahmen in gängigen Linux-Distributionen machen eine Remote Code Execution (RCE) in realen Szenarien nahezu ausgeschlossen. Das primäre Risiko beschränkt sich auf Denial-of-Service (DoS)-Angriffe, deren Auswirkungen jedoch ebenfalls begrenzt sind. Nutzer sollten dennoch dringend auf Curl 8.9.0 aktualisieren, um umfassenden Schutz zu gewährleisten. Dieser Fall verdeutlicht, dass CVSS-Scores allein nicht immer die tatsächliche Gefährdung widerspiegeln, und betont die Relevanz einer kontextbasierten Risikobewertung.

Die komplette Untersuchung des JFrog Security Research Teams finden Sie hier: https://jfrog.com/blog/curl-and-libcurl-uaf-cve-2024-6197. (JFrog: ra)

eingetragen: 20.01.25
Newsletterlauf: 01.04.25

Jfrog: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Engagierter IT-Admin: Mehr Fluch als Segen?

    Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen Stand der Entwicklungen zu halten. Wie sollen da unterbesetzte IT-Abteilungen Cybersicherheit für ihr Unternehmen gewährleisten? Es wird Zeit, dass die Chefetage die Verantwortung für die IT-Security an sich zieht, Raum für eine ehrliche Situationsanalyse schafft und engagierte IT-Admins sich die Grenzen ihrer eigenen Ressourcen eingestehen.

  • Sicherheitsfragen rund um LLMs

    Angesichts der rasanten KI-Entwicklung wird immer deutlicher, dass die grundlegenden Leitplanken, Plausibilitätsprüfungen und Prompt-basierten Sicherheitsmaßnahmen, die derzeit gelten, durchlässig und unzureichend sind. Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist.

  • DORA: Regulierungsrahmenwerk mit Biss

    Das Finanzwesen befindet sich in einem raschen technologischen Wandel, der sowohl beispiellose Chancen als auch Risiken mit sich bringt. Als Reaktion darauf hat die Europäische Union im Januar 2023 im Rahmen ihres Digital Finance Package den Digital Operational Resilience Act (DORA) eingeführt. Diese Verordnung ist nicht nur eine neue Reihe von Richtlinien, sondern ein rechtsverbindlicher Rahmen, der sicherstellen soll, dass Finanzinstitute und alle damit verbundenen Unternehmen eine robuste, widerstandsfähige IT-Umgebung aufrechterhalten.

Kontoinformationen für die AWS-Plattform FunkSec die aktivste Ransomware-Bande

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen