Vier kritische Schwachstellen in Squid Caching Proxy geschlossen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt in einer Cyber-Sicherheitswarnung mit, dass die Version 6.4 von Squid Caching Proxy vier kritische Sicherheitslücken schließt. Diese ermöglichen Denial-of-Service-Angriffe und teils auch Code-Ausführung über Remote-Zugriff. Die Version 6.4 kann unter folgendem Link heruntergeladen werden: 

Der IT-Sicherheitsforscher Joshua Rogers entdeckte die Lücken schon im Jahr 2021 als Teil von 35 Zero-Day-Schwachstellen in Squid. Sie haben noch keine CVE-Nummern. Die Squid-Projektverantwortlichen geben an, dass weitere dieser Sicherheitslücken durch frühere Updates behoben sind und sie an Patches zu den noch offenen Schwachstellen arbeiten. 

Wegen der weltweit starken Verbreitung von Squid Caching Proxies und der Tatsache, dass noch nicht alle bekannten Schwachstellen gepatcht sind, wertet das BSI die Lage als kritisch. Vor allem die Gefahr von Denial-of-Service-Angriffen, einige leicht ausnutzbare Lücken sowie das Fehlen von Updates und Workarounds seien problematisch.

Wie schwerwiegend sich die Schwachstellen auswirken, hängt jedoch von der konkreten Squid-Konfiguration sowie der Einsatzumgebung ab. Laut Meldung sind dem BSI bislang keine Ausnutzungen der genannten Sicherheitslücken bekannt.

Nachfolgend werden die geschlossenen Lücken kurz erläutert:

• Die Schwachstelle in der HTTP-Digest-Authentifizierung ermöglicht Angreifenden über Remote-Zugriff einen Stack Buffer Overflow herbeizuführen. Hierdurch können Denial-of-Service-Angriffe und ggf. Code-Ausführung erfolgen.
• Die Lücke im HTTP Response Caching lässt auch Denial-of-Service-Angriffe zu und wird durch das Setzen der Speichergrenzen zur Prüfung von HTTP-Response-Headern vor dem Cachen erzeugt. Diese können durch HTTP-304-Updates über die gesetzte Speichergrenze hinauswachsen.
• Eine weitere Sicherheitslücke erlaubt Angreifenden, Request/Response-Smuggling-Angriffe an Firewalls und Sicherheitssystemen vorbei auszuführen, wenn der Upstream-Server die chunked-Encoding-Syntax anders interpretiert als Squid. Sie betrifft die Protokolle HTTP/1.1 und ICAP, die Transfer-Encoding:chunked unterstützen.
• Die Denial-of-Service-Schwachstelle in FTP macht Squid aufgrund eines Umwandlungsfehlers numerischer Typen anfällig für Denial-of-Service-Attacken gegen die Validierung von FTP Native Relay und ftp://-URLs. Die FTP-Unterstützung ist immer aktiviert und kann nicht vollständig deaktiviert werden.

In seiner Warnung schildert das BSI die Angriffsarten und Infiltrationswege über die genannten Sicherheitslücken und beschreibt diese ausführlicher. Außerdem nennt die BSI-Warnung die Links zu den Advisories der vier Schwachstellen auf GitHub und den zugehörigen Proofs of Concept.

Squid-Version 6.4 installieren und Mitigationshinweise befolgen

Das BSI rät dringend dazu, die Version 6.4 von Squid Caching Proxy zu installieren, um die genannten Lücken zu schließen. Version 6.4 ist laut Release Notes noch nicht für Produktivumgebungen vorgesehen. Das BSI empfiehlt aber, den Einsatz der Version aufgrund der Wirksamkeit abzuwägen.

Bisher ungepatchte Schwachstellen sollten anderweitig gegen Denial-of-Service-Angriffe und mögliche Code-Ausführungen über Remote-Zugriff abgesichert werden. Des Weiteren soll regelmäßig auf Patches und neue Versionen von Squid geprüft und diese bei Verfügbarkeit zeitnah installiert werden. Die Erreichbarkeit von Squid Caching Proxy soll nur aus vertrauenswürdigen Netzen ermöglicht werden.

In seiner Cyber-Sicherheitswarnung beschreibt das BSI genauere Workarounds und Mitigationen zu den vier genannten Schwachstellen sowie den ungepatchten Sicherheitslücken. Zudem verweist die Warnung auf mehrere hilfreiche IT-Grundschutzdokumente auf der Website des BSI.