Kritická aktívne zneužívaná zraniteľnosť v prehliadačoch a aplikáciách

27. septembra 2023

AKTUALIZÁCIA 27.9.2023 23:40: Doplnený zoznam zraniteľných aplikácií

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou bezpečnostnou zraniteľnosťou populárnej knižnice libwebp, ktorá umožňuje vzdialené vykonanie akéhokoľvek kódu. Zraniteľnosť dosiahla maximálne CVSS skóre 10.0. Knižnica sa nachádza v tisíckach aplikácií na všetkých operačných systémoch.

Ako zraniteľnosť funguje a čoho sa týka?

Knižnica libwebp umožňuje aplikáciám čítať a zapisovať súbory vo formáte webp. Podporu pre tento formát potrebujú webové prehliadače, aplikácie na komunikáciu a ako závislosť druhej úrovne sa vyskytuje vo väčšine aplikácií, ktoré z akéhokoľvek dôvodu zobrazujú HTML obsah. Keďže sa jedná o knižnicu, ktorá je de-facto štandardom pre prácu s týmto formátom, množstvo zasiahnutých aplikácií je enormné.

Zneužitie zraniteľnosti je veľmi jednoduché. Útočníkovi stačí podvrhnúť špeciálne pripravený škodlivý súbor vo WEBP formáte. V okamihu, keď ho aplikácia začne načítavať dôjde k vykonaniu útočníkom podvrhnutého kódu na zariadení obete, a to bez nutnosti akéhokoľvek potvrdenia alebo interakcie zo strany používateľa. V závislosti od aplikácie to môže nastať už v okamihu doručenia správy, skôr než si ju používateľ aktívne otvorí.

Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi a existuje Proof of Concept kód, čo útočníkom zneužívanie zraniteľnosti ešte viac uľahčuje.

Zraniteľnosť je označená pod CVE-2023-5129 a ako sme spomenuli vyššie, zraniteľnosť dosiahla maximálne možné CVSS skóre 10.0. Knižnica je zraniteľná vo verziách novších ako 0.5.0 a starších ako 1.3.2.

Zasiahnuté systémy

Knižnica sa používa ako na desktopových operačných systémoch (vrátane Windows, Linux, MacOS), tak aj na mobilných zariadeniach (Android, iOS). Medzi zasiahnuté aplikácie patria:

Basecamp 3
Beaker (webový prehliadač)
Bitwarden
Brave
CrashPlan
Cryptocat (ukončená podpora)
Discord
Eclipse Theia
FreeTube
GitHub Desktop
GitKraken
Chrome
všetky prehliadače na založené na platforme Chromium
Joplin
Keybase
Lbry
LibreOffice
Light Table
Logitech Options +
LosslessCut
Mattermost
Microsoft Edge
Microsoft Teams
MongoDB Compass
Mozilla
Mullvad
NixOS
Notion
Obsidian
QQ (pre macOS)
Quasar Framework
Shift
Signal
Skype
Slack
Suse
Symphony Chat
Tabby
Termius
TIDAL
Tor Browser
Twitch
Ubuntu
Visual Studio Code
Vivaldi
WebTorrent
Wire
Yammer
Opera

Zoznam aplikácií nie je konečný a týka sa všetkých aplikácií, ktoré danú knižnicu využívajú.

Medzi zasiahnuté je možné pripočítať aj obrovské množstvo dockerových kontajnerov, ktoré sú založené na niektorej z distribúcií v ktorých je táto knižnica predinštalovaná. Nemusí byť však využívaná softvérom, ktorý je v kontajneri prevádzkovaný. Pre bežného používateľa kontajnera je však takmer nemožné túto informáciu potvrdiť či vyvrátiť, preto aj tu odporúčame obozretnosť a aktualizáciu obrazov (image) dockerových kontajerov.

Odporúčania

Nakoľko ide o zraniteľnosť knižnice ako jedného z komponentov aplikácie, opravenú verziu knižnice musí implementovať do svojich produktov každý výrobca, ktorý danú knižnicu využíva.

Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:

sledovať informácie od výrobcov aplikácií, ktoré používate a ihneď po vydaní najnovšej bezpečnostnej aktualizácie túto prevziať a nainštalovať. Preverte si, či najnovšia bezpečnostná aktualizácia aplikácie obsahuje aj opravu zraniteľnej knižnice.
Do času vydania bezpečnostnej aktualizácie na zasiahnuté aplikácie obmedzte ich používanie a využite alternatívy, ktoré uvedenú knižnicu nepoužívajú.
V prípade zariadení s citlivým obsahom odporúčame dočasne odinštalovať aplikácie na rýchlu komunikáciu (instant messaging) do opravy chyby
V prípade vzniku incidentu, ktorý by mohol mať súvis s touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected].

Zdroje

« Späť na zoznam

Ako zraniteľnosť funguje a čoho sa týka?

Zasiahnuté systémy

Odporúčania

Zdroje

Dôležité odkazy