Schwachstelle für RCE praktisch unmöglich


JFrog analysiert CVE-2024-6197: Welches Risiko birgt die neue Curl- und Libcurl-Schwachstelle?
Um diese Sicherheitslücke zu beheben, wird Benutzern empfohlen, Curl und Libcurl auf Version 8.9.0 zu aktualisieren


Eine neue Schwachstelle, CVE-2024-6197, betrifft die Curl- und Libcurl-Versionen 8.6.0 bis 8.8.0. Der als Use-After-Free (UAF) klassifizierte Fehler tritt ungewöhnlicherweise auf dem Stack statt auf dem Heap auf und hat mit einem CVSS-Schweregrad von 7,5 erhebliche Aufmerksamkeit erregt. Analysen des Security Research Teams von JFrog deuten jedoch darauf hin, dass die Wahrscheinlichkeit einer praktischen Ausnutzung gering ist.

Technischer Hintergrund
CVE-2024-6197 ist eine stackbasierte UAF-Schwachstelle, die ausgelöst werden kann, wenn Curl oder Libcurl eine Verbindung zu einem bösartigen TLS-Server herstellt, der ein manipuliertes X.509-Zertifikat anbietet. Die Schwachstelle entsteht durch einen Fehler in der Libcurl-Funktion "utf8asn1str", die ASN.1-UTF-8-Zeichenfolgen aus Zertifikaten verarbeitet. Unter bestimmten Bedingungen versucht die Funktion, einen 4-Byte-Stack-Puffer freizugeben, was zum UAF-Szenario führt. Die meisten modernen Linux-Distributionen, darunter Debian, Ubuntu und Red Hat, verfügen jedoch über Schutzmaßnahmen, die einen Absturz verursachen, anstatt die Ausführung von Code zuzulassen. Dadurch wird die Wahrscheinlichkeit einer erfolgreichen Ausnutzung erheblich verringert.

Bedingungen für die Ausnutzung
Die Ausnutzung von CVE-2024-6197 erfordert eine spezifische Kette von Ereignissen:

>> Verbindung zu einem bösartigen TLS-Server: Der Server des Angreifers muss ein speziell erstelltes X.509-Zertifikat mit einem ungewöhnlichen Codierungstyp (UniversalString) anbieten, der bestimmte Zeichenanforderungen erfüllt.

>> Anfälliger Curl-Build: Curl muss mit Unterstützung für bestimmte TLS-Backends (GnuTLS, wolfSSL, Schannel, Secure Transport oder mbedTLS) erstellt werden, da mit OpenSSL erstellte Versionen immun sind.

>> Explizite Verwendung von "CURLINFO_CERTINFO": Die anfällige Funktion wird nur ausgelöst, wenn das Flag CURLINFO_CERTINFO in der Curl-Konfiguration aktiviert ist oder über bestimmte CLI-Flags aufgerufen wird (z. B. "--write-out ‚Prozentcerts‘").

Wahrscheinlichkeit einer Remote-Code-Ausführung (RCE)
Untersuchungen zeigen, dass die Ausnutzung dieser Schwachstelle für RCE praktisch unmöglich ist. Zu den wichtigsten Faktoren, die die Ausnutzung einschränken, gehören:

>> Stack-Integritätsprüfungen: Viele Linux-Distributionen enthalten Stack-Integritätsprüfungen (z. B. Glibc- und Musl libc-Implementierungen), die eine sofortige Beendigung des Prozesses verursachen, wenn ein Stack-Pointer fälschlicherweise freigegeben wird.
>> Begrenzte anfällige Setups: Die meisten gängigen Linux-Distributionen verwenden standardmäßig OpenSSL, das nicht betroffen ist. Darüber hinaus ist UniversalString eine veraltete Kodierung, die in Zertifikaten nur selten verwendet wird.
>> Abschwächung in Linux-Distributionen: Selbst wenn versucht wurde, die Sicherheitsanfälligkeit in Distributionen wie Alpine Linux 3.10 (bei der die C-Implementierung nicht abstürzt) zu erzwingen, schlugen Versuche, RCE zu erreichen, fehl. Anstatt die Kontrolle an den Angreifer abzugeben, stößt der Prozess auf einen Fehler, wodurch eine Beschädigung des Stacks verhindert wird.

Auswirkungen auf Benutzer
Angesichts dieser Faktoren beschränkt sich die primäre Auswirkung von CVE-2024-6197 auf Denial-of-Service-Angriffe (DoS). Bei erfolgreicher Auslösung kann der Curl-Client-Prozess abstürzen. Für die meisten Benutzer, insbesondere für Benutzer von Linux-Distributionen wie Ubuntu, Debian und Red Hat, ist es jedoch unwahrscheinlich, dass die Sicherheitsanfälligkeit Auswirkungen hat, da integrierte Schutzmaßnahmen vorhanden sind.

Behebung der Sicherheitslücke
Um diese Sicherheitslücke zu beheben, wird Benutzern empfohlen, Curl und Libcurl auf Version 8.9.0 zu aktualisieren. Dieses Update behebt den Fehler und stellt die Kompatibilität mit Sicherheits-Patches sicher, die von den wichtigsten Linux-Distributionen bereitgestellt werden. Viele Distributionen, darunter Ubuntu, Debian und Red Hat, haben bereits Updates herausgegeben. Benutzer sollten ihre Umgebungen auf anfällige Versionen (8.6.0 bis 8.8.0) überprüfen und bei Bedarf Sicherheitspatches anwenden.

Fazit
Trotz eines hohen CVSS-Scores von 7,5 erweist sich CVE-2024-6197 als deutlich weniger riskant als zunächst befürchtet. Die strikten Voraussetzungen für eine Ausnutzung sowie Abhilfemaßnahmen in gängigen Linux-Distributionen machen eine Remote Code Execution (RCE) in realen Szenarien nahezu ausgeschlossen. Das primäre Risiko beschränkt sich auf Denial-of-Service (DoS)-Angriffe, deren Auswirkungen jedoch ebenfalls begrenzt sind. Nutzer sollten dennoch dringend auf Curl 8.9.0 aktualisieren, um umfassenden Schutz zu gewährleisten. Dieser Fall verdeutlicht, dass CVSS-Scores allein nicht immer die tatsächliche Gefährdung widerspiegeln, und betont die Relevanz einer kontextbasierten Risikobewertung.

Die komplette Untersuchung des JFrog Security Research Teams finden Sie hier: https://jfrog.com/blog/curl-and-libcurl-uaf-cve-2024-6197. (JFrog: ra)

eingetragen: 20.01.25
Newsletterlauf: 01.04.25

Jfrog: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Kontoinformationen für die AWS-Plattform FunkSec die aktivste Ransomware-Bande

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen