В мире информационной безопасности вновь зафиксирована серьёзная угроза, на этот раз затрагивающая одну из основополагающих технологий интернета - кэширующий прокси-сервер Squid. Разработчики проекта выпустили экстренное предупреждение о трёх критических уязвимостях в версиях, предшествующих 7.5. Эти недостатки позволяют удалённому злоумышленнику организовать атаку на отказ в обслуживании (Denial of Service) и, что особенно тревожно, получить доступ к конфиденциальной информации, хранящейся в памяти сервера. Для корпоративных сетей и провайдеров, использующих Squid для оптимизации и контроля трафика, данная новость означает необходимость немедленной проверки и обновления инфраструктуры.
Детали уязвимостей
Все обнаруженные проблемы сконцентрированы вокруг обработки трафика по протоколу ICP (Internet Cache Protocol), который используется для обмена информацией между кэширующими прокси-серверами в распределённых системах. Первая уязвимость, классифицируемая как выход за пределы чтения (out-of-bounds read), возникает из-за недостаточной проверки входящих данных. В результате, отправляя специально сформированные некорректные ICP-запросы, атакующий может заставить уязвимый Squid в ответных сообщениях об ошибках раскрыть небольшие фрагменты оперативной памяти. Эти фрагменты потенциально могут содержать чувствительную информацию, например, фрагменты пользовательских сессий, служебные данные или элементы конфигурации. Стоит подчеркнуть, что стандартные правила фильтрации доступа "icp_access" неэффективны для блокировки данной атаки, что усложняет оперативное устранение угрозы без обновления.
Вторая и третья уязвимости связаны с более опасным классом ошибок - использованием памяти после её освобождения (Use-After-Free). Эти ошибки возникают из-за некорректного управления ресурсами в коде, обрабатывающем ICP-сообщения. Когда программа освобождает участок памяти, но продолжает сохранять указатель на него, а позже пытается им воспользоваться, это приводит к нестабильности. Удалённый злоумышленник, отправляя определённую последовательность ICP-пакетов, может спровоцировать крах процесса Squid, вызвав полный отказ в обслуживании для всех клиентов, зависящих от этого прокси-сервера. Как и в первом случае, атака является надёжной и воспроизводимой, а правила "icp_access" не служат надёжной защитой.
Глубина воздействия этих уязвимостей напрямую зависит от конфигурации. Под угрозой находятся только те развёртывания Squid, где явно включена поддержка протокола ICP, то есть в конфигурации указан не нулевой порт ("icp_port"). Многие организации могут использовать ICP для создания кластеров кэширующих серверов с целью повышения отказоустойчивости и производительности. Именно такие, зачастую критически важные, узлы инфраструктуры и становятся мишенью. Последствия успешной эксплуатации могут быть масштабными: от незапланированных простоев интернет-доступа для тысяч пользователей внутри компании до утечки служебной информации, которая впоследствии может быть использована для более целенаправленных атак.
Разработчики Squid оперативно отреагировали, выпустив версию 7.5, в которой все три уязвимости исправлены. Кроме того, для стабильных веток опубликованы патчи, которые необходимо вручную применить к исходному коду. Для пользователей, которые устанавливают Squid из репозиториев дистрибутивов (например, через apt или yum), рекомендуется дождаться обновлённых пакетов от вендора и установить их в кратчайшие сроки. Между тем, существует и временное решение, которое может быть применено немедленно для снижения риска. Необходимо полностью отключить поддержку ICP, установив в конфигурационном файле параметр "icp_port 0" или убедившись, что эта функциональность никогда не включалась. Важно помнить, что простое ограничение доступа через "icp_access" не является эффективной мерой против описанных уязвимостей.
Для проверки текущего состояния системы администраторы могут выполнить в командной строке диагностическую команду: "squid -k parse 2>&1 | grep -E "(icp|udp)_port" | tail -n1". Если вывод команды показывает, что порт ICP не равен нулю, система уязвима и требует внимания. Данный инцидент наглядно демонстрирует, как устаревшие или редко используемые компоненты в критической инфраструктуре, такие как протокол ICP, могут стать ахиллесовой пятой всей системы безопасности. Регулярное обновление программного обеспечения, даже такого фундаментального и проверенного временем, как Squid, остаётся не просто рекомендацией, а обязательной процедурой для поддержания конфиденциальности и доступности сетевых сервисов в современной цифровой среде.
Ссылки
- https://github.com/squid-cache/squid/security/advisories/GHSA-84p4-hcx7-jj7c
- https://github.com/squid-cache/squid/security/advisories/GHSA-f9p7-3jqg-hhvq
- https://github.com/squid-cache/squid/security/advisories/GHSA-hpfx-h48q-gvwg
