Reading Time: 2 minutes

Programadores que tenham incluído nas suas apps a ferramenta GNU ‘wget’ devem atualizá-la para a sua nossa versão disponível no Boxing Day.

A ferramenta wget do GNU é um recurso open-source para descarregar ficheiros utilizando alguns dos protocolos da Internet mais utilizados worldwide, incluindo o HTTP, HTTPS, FTP, FTPs.

 É uma ferramenta de linha de comandos não interativa, por isso, pode ser facilmente invocada através de scripts, tarefas agendadas, terminais sem suporte ao X-Windows, entre outros.

A falha, identificada como CVE-2018-20483, pode permitir que os utilizadores locais obtenham informações confidenciais (por exemplo, credenciais contidas na URL) apenas acedendo os parametros passados no “payload” e que ficaram armazenados na metadata do ficheiro origem xattr.c (set_file_metadata).

set_file_metadata in xattr.c in GNU Wget before 1.20.1 stores a file’s origin URL in the user.xdg.origin.url metadata attribute of the extended attributes of the downloaded file, which allows local users to obtain sensitive information (e.g., credentials contained in the URL) by reading this attribute, as demonstrated by getfattr.

Source: https://nvd.nist.gov/vuln/detail/CVE-2018-20483

 

O investigador Gynvael Coldwind (@voltagex) descobriu que os parametros definidos podem incluir nomes de utilizadores e palavras-passe de utilizadores.

 

O investigador Hanno Böck destacou que as URLs podem conter “tokens secretos” usados em serviços externos. Os parametros podem ser obtidos em qualquer máquina, no contexto do utilizado autenticado e apenas o através do comando getfattr.

“The URL of downloads gets stored via filesystem attributes on systems that support Unix extended attributes.” Böck wrote.

“You can see these attributes on Linux systems by running getfattr -d [filename] (The download URL is stored in a variable “user.xdg.origin.url”)”

“This also applies to Referer information in the user.xdg.referrer.url metadata attribute. According to 2016-07-22 in the Wget ChangeLog, user.xdg.origin.url was partially based on the behavior of fwrite_xattr in tool_xattr.c in curl.” reads the description published by the Mitre.

 

O problema foi comunicado, em particular, para o Google Chrome, e será corrigido em breve.

De acordo com o programador do wget, Tim Rühsen, a ferrmaenta parou de usar o xattrs por padrão a partir da versão 1.20.1.

Wget 1.20.1 or higher will not use xattrs by default any more. To enable it again you have to use the —xattr option or xattr command for .wgetrc files.

 

Já o investigador Hector Martin, apontou que um agente de ameaça que ambicione roubar URLs com parametros sensíveis pode mover os ficheiros dos metadados do disco rígido da vítima para um dispositivo USB.

Todos os utilizadores que ainda tenham uma versão vulnerável da ferramenta no sistema, ou que utilizem uma dessas versões nas suas aplicações, devem atualizá-la o quanto antes por forma a evitar ataques de exfiltração de informação sensível.