Уязвимость Squidbleed в Squid Proxy угрожает данным пользователей – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Уязвимость Squidbleed в Squid Proxy угрожает данным пользователей

В популярном прокси-сервере Squid обнаружена критическая уязвимость 'Squidbleed', существующая с 1997 года. Она может привести к утечке конфиденциальных данных пользователей в общих сетях.

Сетевой прокси-сервер и концепция утечки данных, символизирующие уязвимость Squidbleed.

Что произошло

Мир кибербезопасности потрясен открытием критической уязвимости, которая незаметно существовала почти три десятилетия. Исследователи безопасности из Calif.io обнаружили в Squid, широко используемом прокси-сервере с открытым исходным кодом, уязвимость утечки памяти, датируемую 1997 годом. Исследователи назвали ее 'Squidbleed' из-за сходства с одной из самых печально известных уязвимостей в истории кибербезопасности — Heartbleed в OpenSSL.

Официально отслеживаемая под кодом CVE-2026-47729, эта уязвимость кроется в одной из основных функций Squid, а именно в компоненте, который анализирует данные протокола FTP. Squid используется на миллионах систем для управления интернет-трафиком, экономии пропускной способности и повышения скорости доступа за счет кэширования. Эти системы охватывают широкий спектр — от корпоративных сетей до школ и общедоступных точек доступа Wi-Fi. Тот факт, что уязвимость так долго оставалась незамеченной, подчеркивает потенциальные риски, скрывающиеся в унаследованных кодовых базах, и важность регулярных аудитов кода и современных методов тестирования безопасности. Интересно, что обнаружение такой старой и глубоко укоренившейся ошибки было осуществлено с помощью ИИ-модели Claude Mythos от Anthropic. Это демонстрирует, как искусственный интеллект становится мощным инструментом в области кибербезопасности, особенно в выявлении сложных недостатков, которые могут быть упущены человеческим глазом.

Какие данные были скомпрометированы

Уязвимость Squidbleed напрямую нацелена на конфиденциальную информацию пользователей. Злоумышленники, эксплуатирующие эту уязвимость, могут перехватывать данные из незашифрованных HTTP-запросов других пользователей, использующих тот же прокси-сервер. Эти данные включают в себя чрезвычайно важную информацию:

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →
  • Учетные данные для аутентификации: Информация, используемая для входа на различные веб-сайты и в онлайн-сервисы, такая как имена пользователей и пароли.
  • Токены сеансов (Session Tokens): Цифровые ключи, которые поддерживают сеанс пользователя на веб-сайте. В случае их захвата злоумышленник может выдать себя за этого пользователя.
  • Ключи API: Специальные ключи, которые позволяют различным приложениям взаимодействовать друг с другом, часто предоставляя доступ к ценным данным или функциям.

Утечка этой информации может привести к краже личных данных, финансовому мошенничеству и несанкционированному доступу к корпоративным сетям. Из-за природы уязвимости утечка может происходить незаметно и без ведома жертвы. Объем скомпрометированных данных зависит от характера незашифрованного трафика, проходящего через прокси. Хотя значительная часть современного интернета зашифрована с помощью HTTPS, все еще существуют случаи, особенно в корпоративных и устаревших средах, когда конфиденциальные данные передаются по незашифрованному HTTP. Такие среды являются наиболее благодатной почвой для атак Squidbleed. Подобные инциденты занимают важное место в постоянно обновляемом мире, где новости об утечках данных появляются регулярно.

Как произошла атака

Техническая основа атаки заключается в ошибке управления памятью, известной как 'чтение за пределами буфера' (out-of-bounds read). Компонент кода в Squid, который обрабатывает трафик FTP (протокол передачи файлов), способен считывать данные за пределами выделенного ему буфера памяти. Эта 'вышедшая за пределы' область может содержать остаточные данные от предыдущего HTTP-запроса, сделанного другим пользователем через тот же прокси.

Для выполнения атаки злоумышленнику необходимо контролировать FTP-сервер, доступный для прокси. Атака разворачивается следующим образом:

  1. Злоумышленник настраивает свой собственный вредоносный FTP-сервер.
  2. Злоумышленник инициирует отправку запроса от целевого прокси-сервера Squid на этот FTP-сервер.
  3. Когда прокси-сервер подключается к FTP-серверу, срабатывает ошибка в парсере FTP, в результате чего программа начинает читать данные за пределами своего буфера памяти.
  4. Эти считанные данные являются фрагментами предыдущего HTTP-запроса, принадлежащего другому пользователю, которые случайно оказались в этой области памяти.
  5. Злоумышленник незаметно собирает эти утекшие данные через свой FTP-сервер.

Наиболее тревожным аспектом уязвимости является то, что она не затрагивает стандартные HTTPS-соединения. Если пользователь использует сквозное зашифрованное HTTPS-соединение (метод CONNECT) через прокси, его данные в безопасности. Однако, если сам прокси-сервер терминирует TLS-шифрование (т.е. расшифровывает трафик, а затем снова зашифровывает его) или если трафик полностью незашифрован (HTTP), данные находятся под угрозой. Такая конфигурация часто встречается в корпоративных сетях для проверки и фильтрации трафика.

Кто пострадал

Squidbleed представляет значительный риск, особенно в средах с общим доступом к прокси. Это означает любую настройку, при которой интернет-трафик нескольких пользователей или устройств направляется через один экземпляр прокси Squid. Потенциально затронутые среды включают:

  • Корпоративные сети: Компании, использующие прокси, такие как Squid, для управления, фильтрации и обеспечения безопасности доступа сотрудников в Интернет.
  • Школы и университеты: Учебные заведения, которые настраивают центральные прокси-системы для контроля сетевого трафика студентов и персонала.
  • Общедоступные сети Wi-Fi: Беспроводные сети, предлагаемые в таких местах, как отели, кафе и аэропорты, которые направляют трафик пользователей через прокси.
  • Интернет-провайдеры (ISP): Некоторые провайдеры, использующие прокси для кэширования и оптимизации трафика для своих клиентов.

В таких средах злоумышленник, находящийся в той же сети, может тайно похищать данные других пользователей. Злоумышленник, подключенный к общедоступной сети Wi-Fi в кофейне, потенциально может перехватить пароли от электронной почты или данные сеансов социальных сетей других клиентов в той же сети.

Что вы можете сделать

Для администраторов и пользователей прокси Squid существуют четкие шаги по смягчению последствий этой уязвимости. Проект Squid выпустил обновления для устранения проблемы.

  • Обновите программное обеспечение: Наиболее эффективным решением является обновление прокси-сервера Squid до исправленной версии. Уязвимость была устранена с помощью исправления, включенного в версию Squid 8 в апреле 2026 года. Кроме того, версия Squid 7.6, выпущенная в июне 2026 года, также включает это исправление. Системным администраторам настоятельно рекомендуется как можно скорее перейти на одну из этих версий.
  • Отключите поддержку FTP: Если протокол FTP не используется в вашей сети, самым безопасным подходом является полное отключение поддержки FTP в конфигурации Squid для устранения риска. Поскольку уязвимость находится именно в парсере FTP, отключение этого протокола устраняет вектор атаки.
  • Принудительное шифрование трафика: Обеспечьте использование сквозного шифрования (HTTPS) везде, где это возможно. Если на прокси-сервере используется терминация TLS, пересмотрите риски этой конфигурации и убедитесь, что трафик не остается незашифрованным даже во внутренней сети.

Что говорит компания

В исходной статье нет прямого официального заявления от проекта Squid или его разработчиков. Однако реакция проекта на уязвимость была быстрой и эффективной. После сообщения об уязвимости разработчики приняли меры для решения проблемы и быстро интегрировали исправления в основную кодовую базу. Выпуск версий Squid 8 в апреле 2026 года и Squid 7.6 в июне 2026 года демонстрирует, что сообщество открытого исходного кода серьезно относится к уведомлениям о безопасности и предпринимает необходимые шаги для защиты своих пользователей. Исследователи из Calif.io отметили, что, помимо этого открытия, они также обнаружили с помощью ИИ еще одну уязвимость высокой степени серьезности в OpenSSL и метод DoS-атаки под названием HTTP/2 Bomb, способный быстро выводить серверы из строя.

Источник

https://www.securityweek.com/decades-old-squid-proxy-flaw-squidbleed-can-expose-user-data/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Утечка данных Texas Parks & Wildlife затронула 3 миллиона

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.