Обнаружена уязвимость, позволяющая совершить MITM-атаку

Обнаружена уязвимость, позволяющая совершить MITM-атаку

Опубликована информация об уязвимости под кодовым названием Httpoxy, которая охватывает достаточно большой пласт http-серверов, но может применяться для ограниченного набора серверных web-приложений, осуществляющих обращение к внешним Web API.

Уязвимость вызвана дублированием назначения переменной окружения HTTP_PROXY, которая может быть выставлена как для определения системных настроек прокси-сервера, так и на основе трансляции переданного клиентом HTTP-заголовка "Proxy:" в соответствии с требованиями RFC 3875.

Создание системной переменной окружения HTTP_PROXY является достаточно простым способ для организации работы http-клиентов через прокси. Суть проблемы в том, что существует пласт полагающихся на переменную окружения HTTP_PROXY библиотек, которые могут использоваться в работающих на стороне сервера web-приложениях для обращения к внешним ресурсам, например, для отправки запросов к различным Web API, загрузки файлов или выполнения проверок (проверка наличия введённого URL, обращение к внешним службам аутентификации и т.п.). В случае передачи HTTP-заголовка "Proxy:" http-сервер также создаст переменную окружения HTTP_PROXY, но уже на основании данных пользователя, что позволяет направить все сетевые запросы уязвимого web-приложения через определённый прокси-сервер, передает opennet.ru.

Предположим, что имеется CGI-скрипт, отправляющий запрос к внешнему Web API для проверки параметров аутентификации клиента и использующий для отправки этого запроса библиотеку, распознающую переменную окружения HTTP_PROXY. Обращение к этому скрипту с подставным HTTP-заголовком "Proxy:" приведёт к установке переменной окружения HTTP_PROXY и запрос будет сделан не на прямую, а через IP, указанный атакующим через заголовок "Proxy:". Направив таким способом скрипт на фиктивный обработчик API, атакующий может симулировать успешную проверку или подсмотреть приватные данные, отправляемые в составе внутреннего запроса к API.

Проблема касается только web-приложений, выполняющих внешние запросы и использующих для отправки запроса проблемные HTTP-клиенты. Например, уязвимость проявляется в программах на PHP (php-fpm, mod_php - CVE-2016-5385), использующих библиотеки Guzzle 4+и Artax, в CGI-скриптах на Python (wsgiref.handlers.CGIHandler, twisted.web.twcgi.CGIScript - CVE-2016-1000110), использующих библиотекуRequests, в Apache Tomcat (CVE-2016-5388) и в программах на языке Go (net, http, cgi - CVE-2016-5386), применяющих модуль net/http. В Curl и Perl (libwww-perl) проблема была устранена ещё в 2001 году. В Ruby аналогичная уязвимость в Net::HTTP была исправлена в 2012 году.

Наиболее простым способом устранения уязвимости является блокирование обработки HTTP-заголовка Proxy на стороне http-сервера. Например, в Apache httpd достаточно воспользоваться модулем mod_headers.so и добавить директиву "RequestHeader unset Proxy early", а вnginx принудительно очистить переменную HTTP_PROXY директивой "fastcgi_param HTTP_PROXY ''". 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Endgame Gear распространяла вредонос в конфигураторе мыши OP1w 4k v2

Компания Endgame Gear, известный производитель игровых периферийных устройств, сообщила о неприятном киберинциденте: на её официальном сайте с 26 июня по 9 июля 2025 года распространялась вредоносная программа под видом конфигуратора для беспроводной мыши OP1w 4k v2.

Если вы в этот период скачивали инструмент настройки для этой модели — стоит срочно проверить систему.

Что произошло

На странице OP1w 4k v2 на сайте Endgame Gear временно лежал файл с вредоносной начинкой. Компания подчёркивает, что проблема затронула только эту конкретную страницу — все остальные загрузки, включая основную страницу загрузок, GitHub и Discord, оставались чистыми.

Вредоносный файл отличался от оригинала:

  • Размер заражённого файла — около 2,8 МБ (в отличие от чистого — примерно 2,3 МБ).
  • В свойствах файла на вкладке «Сведения» отображалось «Synaptics Pointing Device Driver» вместо ожидаемого названия «Endgame Gear OP1w 4k v2 Configuration Tool».

Именно по этим признакам можно понять, скачали ли вы заражённую версию.

Что делать пользователям

Если вы скачивали конфигуратор OP1w 4k v2 между 26 июня и 9 июля:

  1. Проверьте размер файла — если он около 2,8 МБ, это тревожный знак.
  2. Посмотрите свойства — неправильное имя продукта указывает на заражение.
  3. Удалите подозрительный файл.
  4. Проверьте наличие папки C:\ProgramData\Synaptics — если она есть, тоже удалите.
  5. Запустите антивирусную проверку.
  6. Скачайте чистую версию с основной страницы загрузок Endgame Gear.

Что сделала компания

После обнаружения инцидента — кстати, благодаря обсуждениям в сети — Endgame Gear оперативно удалила вредоносный файл и начала внутреннее расследование. По его результатам, серверы компании не были взломаны, данные пользователей не утекли.

Теперь компания ужесточила процедуры безопасности:

  • Ввела антивирусную проверку всех файлов до и после загрузки на сервер.
  • Планирует использовать цифровые подписи и SHA-хэши для проверки целостности загрузок.
  • А ещё — отказалась от индивидуальных страниц загрузки для каждого продукта: всё будет размещаться на одной централизованной странице.

Случай неприятный, но Endgame Gear среагировала быстро и уже работает над тем, чтобы подобного больше не произошло. Если вы попали в зону риска — лучше не откладывайте проверку.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru