Kritická aktívne zneužívaná zraniteľnosť v prehliadačoch a aplikáciách
AKTUALIZÁCIA 27.9.2023 23:40: Doplnený zoznam zraniteľných aplikácií
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou bezpečnostnou zraniteľnosťou populárnej knižnice libwebp, ktorá umožňuje vzdialené vykonanie akéhokoľvek kódu. Zraniteľnosť dosiahla maximálne CVSS skóre 10.0. Knižnica sa nachádza v tisíckach aplikácií na všetkých operačných systémoch.
Ako zraniteľnosť funguje a čoho sa týka?
Knižnica libwebp umožňuje aplikáciám čítať a zapisovať súbory vo formáte webp. Podporu pre tento formát potrebujú webové prehliadače, aplikácie na komunikáciu a ako závislosť druhej úrovne sa vyskytuje vo väčšine aplikácií, ktoré z akéhokoľvek dôvodu zobrazujú HTML obsah. Keďže sa jedná o knižnicu, ktorá je de-facto štandardom pre prácu s týmto formátom, množstvo zasiahnutých aplikácií je enormné.
Zneužitie zraniteľnosti je veľmi jednoduché. Útočníkovi stačí podvrhnúť špeciálne pripravený škodlivý súbor vo WEBP formáte. V okamihu, keď ho aplikácia začne načítavať dôjde k vykonaniu útočníkom podvrhnutého kódu na zariadení obete, a to bez nutnosti akéhokoľvek potvrdenia alebo interakcie zo strany používateľa. V závislosti od aplikácie to môže nastať už v okamihu doručenia správy, skôr než si ju používateľ aktívne otvorí.
Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi a existuje Proof of Concept kód, čo útočníkom zneužívanie zraniteľnosti ešte viac uľahčuje.
Zraniteľnosť je označená pod CVE-2023-5129 a ako sme spomenuli vyššie, zraniteľnosť dosiahla maximálne možné CVSS skóre 10.0. Knižnica je zraniteľná vo verziách novších ako 0.5.0 a starších ako 1.3.2.
Zasiahnuté systémy
Knižnica sa používa ako na desktopových operačných systémoch (vrátane Windows, Linux, MacOS), tak aj na mobilných zariadeniach (Android, iOS). Medzi zasiahnuté aplikácie patria:
- Basecamp 3
- Beaker (webový prehliadač)
- Bitwarden
- Brave
- CrashPlan
- Cryptocat (ukončená podpora)
- Discord
- Eclipse Theia
- FreeTube
- GitHub Desktop
- GitKraken
- Chrome
- všetky prehliadače na založené na platforme Chromium
- Joplin
- Keybase
- Lbry
- LibreOffice
- Light Table
- Logitech Options +
- LosslessCut
- Mattermost
- Microsoft Edge
- Microsoft Teams
- MongoDB Compass
- Mozilla
- Mullvad
- NixOS
- Notion
- Obsidian
- QQ (pre macOS)
- Quasar Framework
- Shift
- Signal
- Skype
- Slack
- Suse
- Symphony Chat
- Tabby
- Termius
- TIDAL
- Tor Browser
- Twitch
- Ubuntu
- Visual Studio Code
- Vivaldi
- WebTorrent
- Wire
- Yammer
- Opera
Zoznam aplikácií nie je konečný a týka sa všetkých aplikácií, ktoré danú knižnicu využívajú.
Medzi zasiahnuté je možné pripočítať aj obrovské množstvo dockerových kontajnerov, ktoré sú založené na niektorej z distribúcií v ktorých je táto knižnica predinštalovaná. Nemusí byť však využívaná softvérom, ktorý je v kontajneri prevádzkovaný. Pre bežného používateľa kontajnera je však takmer nemožné túto informáciu potvrdiť či vyvrátiť, preto aj tu odporúčame obozretnosť a aktualizáciu obrazov (image) dockerových kontajerov.
Odporúčania
Nakoľko ide o zraniteľnosť knižnice ako jedného z komponentov aplikácie, opravenú verziu knižnice musí implementovať do svojich produktov každý výrobca, ktorý danú knižnicu využíva.
Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:
- sledovať informácie od výrobcov aplikácií, ktoré používate a ihneď po vydaní najnovšej bezpečnostnej aktualizácie túto prevziať a nainštalovať. Preverte si, či najnovšia bezpečnostná aktualizácia aplikácie obsahuje aj opravu zraniteľnej knižnice.
- Do času vydania bezpečnostnej aktualizácie na zasiahnuté aplikácie obmedzte ich používanie a využite alternatívy, ktoré uvedenú knižnicu nepoužívajú.
- V prípade zariadení s citlivým obsahom odporúčame dočasne odinštalovať aplikácie na rýchlu komunikáciu (instant messaging) do opravy chyby
- V prípade vzniku incidentu, ktorý by mohol mať súvis s touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected].
Zdroje
- https://blog.isosceles.com/the-webp-0day/
- https://www.csa.gov.sg/alerts-advisories/alerts/2023/al-2023-122
- https://nvd.nist.gov/vuln/detail/CVE-2023-5129
- https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/
- https://www.theregister.com/2023/09/12/chrome_browser_webp_exploit/
- https://www.cyberkendra.com/2023/09/webp-0day-google-assign-new-cve-for.html
- https://github.com/advisories/GHSA-hhrh-69hc-fgg7
- https://www.suse.com/security/cve/CVE-2023-5129.html
- https://www.secureblink.com/cyber-security-news/google-reclassifies-zero-day-libwebp-vulnerability-as-critical-cve-2023-5129
« Späť na zoznam