Vulnerabilidade crítica no cURL exige atualização urgente
O cURL, ferramenta de linha de comando e biblioteca open source para transferência de dados, tem uma vulnerabilidade crítica de segurança descoberta recentemente que é considerada uma das piores em muitos anos. A falha, rastreada como CVE-2023-38545, afeta tanto o cURL quanto a biblioteca libcurl e tem uma classificação de gravidade alta.
Essa vulnerabilidade permite que invasores remotamente executem código arbitrário e obtenham acesso completo aos sistemas afetados. Daniel Stenberg, fundador e mantenedor do cURL, chamou a atenção para a gravidade do problema e decidiu encurtar o ciclo de lançamento regular para disponibilizar um patch de segurança urgente.
O cURL é amplamente utilizado como uma ferramenta standalone e também é integrado em inúmeros softwares como uma biblioteca. Portanto, a vulnerabilidade tem o potencial de afetar uma grande quantidade de sistemas Linux, já que a maioria das distribuições incluem o cURL ou a libcurl. Empresas como Docker, Qualys, Amazon Web Services e Synk emitiram alertas sobre o problema, pedindo que os clientes estejam preparados para atualizar assim que o patch estiver disponível.
A vulnerabilidade ocorre porque o cURL não valida adequadamente certos dados de entrada fornecidos pelo usuário ou aplicativo. Isso permite que um invasor insira comandos arbitrários que serão executados com privilégios elevados no sistema alvo. Como o cURL é normalmente executado com permissões de superusuário, um invasor pode facilmente obter acesso root aos dispositivos comprometidos.
Especialistas em segurança destacam que a vulnerabilidade é relativamente fácil de explorar e provavelmente veremos exploits públicos sendo desenvolvidos rapidamente após a divulgação técnica. Recomendam enfaticamente que todos os sistemas utilizando o cURL sejam atualizados imediatamente quando o patch estiver disponível.
Algumas medidas podem ser tomadas agora para se preparar para a atualização:
Identificar todos os sistemas e dispositivos que têm o cURL instalado, incluindo versões standalone e aquelas integradas em aplicativos.
Determinar a versão exata do cURL sendo executada com o comando "curl --version". Priorizar a atualização de sistemas críticos e expostos à internet onde o cURL é executado com privilégios elevados.
Monitorar os comunicados da sua distribuição Linux preferida e estar preparado para atualizar os pacotes cURL assim que estiverem disponíveis.Se você mantém imagens Docker customizadas, atualize a versão do cURL nessas imagens.
Desativar quaisquer funcionalidades desnecessárias do cURL até que você possa atualizar.
Embora uma data exata não tenha sido fornecida publicamente, o comunicado indica que o patch será lançado na semana do dia 10 de Outubro de 2023. Portanto, todos os esforços devem ser feitos para atualizar os sistemas afetados assim que os pacotes forem lançados.
Dada a natureza crítica desta vulnerabilidade e sua vasta área de impacto potencial, é essencial aplicar a atualização o mais rápido possível. Deixar sistemas desatualizados significativamente expostos a invasores remotos.
Felizmente, o problema foi relatado de forma responsável aos mantenedores do cURL e um patch está sendo desenvolvido. Seguindo boas práticas de segurança, os detalhes técnicos não foram divulgados publicamente para evitar exploração antes que todos possam atualizar.
Contudo, essa falha serve como um alerta sobre a necessidade de maior segurança e manutenção em projetos open source amplamente utilizados como infraestrutura crítica. Desenvolvedores e organizações precisam estar atentos e dispostos a atualizar prontamente quando problemas forem descobertos nessas bibliotecas vitais. Com uma resposta rápida e coordenada, podemos mitigar efetivamente o risco para a internet como um todo.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui