الكشف عن مخاطر ملف التقاط حزمة Wireshark الخبيثة

Pwning the pen tester: تم الكشف عن مخاطر ملف التقاط حزمة Wireshark الخبيثة
أدوات اختراق أمان شبكة البرامج الضارة
تم تعيين CVE نظرًا لاحتمال حدوث ضرر على الرغم من أن بعض الخداع في الهندسة الاجتماعية مطلوب

كشف بحث جديد عن ملفات التقاط حزم Wireshark الضارة بعد مخاطر محتملة

يمكن استخدام ملفات التقاط حزم Wireshark التي تم إنشاؤها بشكل ضار لتوزيع البرامج الضارة ، مما يوفر إمكانية خداع المستلمين للنقر المزدوج على حقول عنوان URL للملف.

من المحتمل أن يتم طرح متغيرات من نفس الهجوم ضد مستخدمي أداة أمان الشبكة الشائعة ، والتي يستخدمها محللو الأمن ومختبرو الاختراق على نطاق واسع ، سواء كانوا يستخدمون أنظمة Windows أو Xubuntu Linux.

تم شرح الهجوم ، الذي اكتشفه الباحث الأمني ​​Lukas Euler من شركة Positive Security ، في منشور حديث على GitLab يحتوي على مقاطع فيديو لإثبات صحة المفهوم.

على الرغم من أن مطوري Wireshark يتجنبون عادةً طلب إنشاء CVE لمشكلات الأمان المحتملة التي تتطلب تفاعل المستخدم ، فقد تم إجراء استثناء في هذه الحالة بسبب “الحاجز المنخفض للدخول ومستوى التحكم” الذي قد يكتسبه المهاجم.

تم حل المشكلة ، التي تم تعقبها كـ CVE-2021-22191 ، من خلال تحديث حديث.

17 عاما علة
تشير مناقشة حول منصة إدارة التعليمات البرمجية المصدر GitLab إلى أن المشكلة ربما تم تقديمها مع التغييرات التي تم إجراؤها على Wireshark منذ 17 عامًا.

السبب الجذري للمشكلة هو أنه بالنسبة لبعض المخططات ، سيتم فتح الملفات المرجعية بواسطة التطبيق القياسي للنظام المرتبط بنوع ملف معين ، كما يوضح أويلر في منشور المدونة الخاص به:

بعض الحقول في Wireshark proto_tree قابلة للنقر مرتين وتمرير عناوين URL ذات مخططات عشوائية إلى وظيفة QDesktopServices :: openUrl. يتم فتح عناوين http و https التي تم تمريرها إلى هذه الوظيفة بواسطة المتصفح الآمن بشكل عام.

بالنسبة لبعض الأنظمة الأخرى مثل dav و file ، سيتم فتح الملفات المرجعية بواسطة التطبيق القياسي للنظام المرتبط بنوع الملف الخاص بهم.

من خلال إعداد مشاركات الملفات المستضافة على الإنترنت والملفات القابلة للتنفيذ ، يمكن تنفيذ التعليمات البرمجية التعسفية عبر ملفات pcap (ng) الضارة أو حركة المرور المباشرة الملتقطة وبعض تفاعل المستخدم.

على أجهزة Windows ، إذا فتح المستخدم ملف pcap الضار ونقر نقرًا مزدوجًا فوق عنوان URL للملف ، يتم تحميل مشاركة WebDAV في الخلفية ويتم تنفيذ ملف .jar.

قد يتم تشغيل هجوم مماثل بنفس التأثير ضد مستخدمي Wireshark على Xubuntu ، لكنه يتميز بمشاركة NFS وملف .desktop ضار.

اقرأ المزيد من أحدث أخبار الثغرات الأمنية

وحذر أويلر من أن “المهاجم قد يوزع ملفات أسر خبيثة ويغري الناس بفحصها. في نظام التشغيل Windows المثبت عليه JRE ، يكفي نقرة مزدوجة بسيطة على حقل تم إنشاؤه للتسبب في تنفيذ الكود على نظام الضحية “.

في النصائح الإرشادية للأمان ، ينصح Wireshark المستخدمين بالتحديث إلى الإصدار 3.4.4 أو 3.2.12 ، وكلاهما تم تصحيحه لمعالجة المشكلة.

قال أويلر لصحيفة ديلي سويغ: “تربط المشكلة على GitLab أيضًا طلبات الدمج ذات الصلة”. “يوضح الاختلاف في الشفرة أن الفريق اختار إصلاح المشكلة عن طريق نسخ عناوين URL التي يُحتمل أن تكون ضارة إلى الحافظة بدلاً من [عن طريق] فتحها مباشرةً.”

عائق كبير أمام الاستغلال
أضاف أويلر أنه على عكس إرشادات Wireshark ، فإن الإصدارات القديمة من الأداة المساعدة قبل الإصدارين 3.4.x و 3.2.x المدعومين رسميًا ، هي أيضًا عرضة للخطر.

في جميع الحالات ، تكون المخاطر منخفضة.

وأوضح أويلر أن “استغلال ثغرة Wireshark يتطلب مهاجمًا لجعل ضحيته تلتقط حركة مرور ضارة / تفتح ملف التقاط ضارًا ، ثم انقر نقرًا مزدوجًا فوق الإدخال الضار في عرض تشريح الحزمة”. “على الرغم من أنه ليس من المستحيل تحقيق ذلك ، إلا أنه يبدو خيارًا غير مرجح لحملات البرامج الضارة الأكبر حجمًا.”

على الرغم من أن الخلل موجود منذ سنوات ، فلا يوجد ما يشير إلى استغلال هذه الثغرة الأمنية في البرية. هذا ليس مفاجئًا تمامًا نظرًا لأن نفس منهجية توزيع عناوين URL الضارة يمكن طرحها بسهولة أكبر كمستخدمين للتطبيقات المعرضة للخطر والمستخدمة على نطاق أوسع.

اكتشف أويلر وزميله فابيان برونلين ، من شركة Positive Security أيضًا ، الثغرة الأمنية في Wireshark أثناء بحثهما في سلوك فتح عنوان URL لتطبيقات سطح المكتب الشائعة.

كشف هذا العمل عن ثغرات في تنفيذ التعليمات البرمجية وعيوب أخرى من المقرر أن يتم تفصيلها من قبل الزوجين في منشور مدونة قادم ، من المقرر نشره خلال الأسابيع المقبلة.

تم تطوير Wireshark بواسطة Riverbed Technology ومقرها سان فرانسيسكو ، وهي مطور لمنتجات أداء الشبكة.