0
0
Pesquisadores descobriram uma vulnerabilidade de negação de serviço (DoS) no Envoy Proxy, que dá aos atacantes a oportunidade de travar o servidor proxy.
Isso pode levar à degradação do desempenho ou à indisponibilidade dos recursos tratados pelo proxy, de acordo com a JFrog Security Research, que divulgou a vulnerabilidade (CVE-2022-29225).
O Envoy é um servidor proxy de borda e serviço de código aberto amplamente utilizado, projetado para aplicativos nativos da nuvem e sites de alto tráfego. Ele pode descompactar dados GZip e Brotli (dois formatos de compressão), mas não implementa um limite de tamanho para o buffer de saída para este último, descobriu o JFrog. Isso significa que uma quantidade quase ilimitada de dados pode obstruir o buffer se atacado por uma “bomba zip” — ou seja, um arquivo de arquivo malicioso projetado para travar ou tornar inútil um programa ou sistema.
A vulnerabilidade pode, portanto, ser explorada por um ator malicioso fazendo o upload de uma bomba zip Brotli para o servidor, resultando em problemas agudos de desempenho.
“Na maioria dos casos, a memória da máquina não será capaz de lidar com quantidades tão grandes de dados e o processo do Envoy acabará falhando”, alertou a postagem do blog JFrog. “Na maioria dos casos, antes que o processo falhe, haverá sérios problemas de desempenho devido ao processador alocar muitos recursos para o processo de descompressão.”
A postagem do blog aconselhou os usuários a atualizar para o Envoy versão 1.19.5, 1.20.4, 1.21.3 ou 1.22.1, o que, segundo ele, resolveria completamente o problema. No entanto, as organizações que não podem fazer a atualização são aconselhadas a proibir sua configuração de permitir a descompressão do Brotli. Isso pode ser feito removendo o descompressor Brotli na íntegra ou substituindo-o pelo descompressor Gzip.
Davis McCarthy, pesquisador principal de segurança da Valtix, um provedor de serviços de segurança de rede nativos da nuvem, explica que a tecnologia de código aberto é frequentemente suscetível a vulnerabilidades que podem ser exploradas usando vetores de ataque mais antigos – como uma bomba zip para esgotar a memória.
“A nuvem atende a muitos aplicativos sempre ativos, o que muitas vezes leva à falta de patches”, diz McCarthy. “CVE-2022-29225 destaca a importância da pesquisa de exploração em nuvem, à medida que essa superfície de ataque está crescendo.”
Ele acrescenta que, quando ocorre a divulgação responsável, o patch virtual se torna uma excelente opção de mitigação para ataques na nuvem.
FONTE: DARK READING