Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор.
През последната седмица на октомври 2022 г. OpenSSL Project разкри две уязвимости, открити в OpenSSL библиотеката. Както CVE-2022-360, така и CVE-2022-3786 са означени като проблеми с "висока" сериозност с CVSS резултат от 8,8, само с 0,2 точки по-нисък от това, което трябва да се считат за "Критични".
Проблемът е в процеса на проверка на сертификати, който OpenSSL изпълнява за удостоверяване, базирано на сертификат. Експлоатацията на уязвимостите може да позволи на атакуващ да стартира атака с отказ на услуга (DoS) или дори атака с отдалечено изпълнение на код. Вече са пуснати корекции за двете слабости, открити в OpenSSL v3.0.0 до v3.06.
Какво е OpenSSL?
OpenSSL е широко използвана помощна програма за команден ред за криптография с отворен код, внедрена за поддържане на сигурността на обмена на уеб трафик между клиент и сървър. Използва се за генериране на публични и частни ключове, инсталиране на SSL/TLS сертификати, проверка на информацията за сертификата и предоставяне на криптиране.
Проблемът излезе наяве на 17 октомври 2022 г., когато Polar Bear разкри две уязвимости на високо ниво, открити в OpenSSL версия 3.0.0 до 3.0.6 на OpenSSL Project. Уязвимостите са CVE-2022-3602 & CVE-2022-3786.
На 25 октомври 2022 г. новината за уязвимостите удари интернет. Марк Кокс, софтуерен инженер на Red Hat и вицепрезидент по сигурността на софтуерната фондация Apache съобщиха новината в туит.
Как един нападател може да използва тези уязвимости?
Двойката уязвимости CVE-2022-3602 и CVE-2022-3786 са предразположени към атака при препълване на буфера което е кибератака, при която се злоупотребява със съдържанието на паметта на сървъра, за да се разкрие потребителска информация и частни ключове на сървъра или да се извърши дистанционно изпълнение на код.
CVE-2022-3602
Тази уязвимост позволява на атакуващ да се възползва от препълването на буфера при проверка на сертификат X.509 при проверка на ограничение на име. Това се случва след проверка на веригата от сертификати и изисква подпис на CA върху злонамерения сертификат или проверка на сертификата, за да продължи въпреки неуспеха да се насочи към доверен издател.
Нападателят може да включи фишинг схема като например създаване на измислен имейл адрес за препълване на четири байта в стека. Това може да доведе до атака на отказ от услуга (DoS), при която услугата става недостъпна след срив, или нападателят може да извърши отдалечено изпълнение на код, което означава, че кодът се изпълнява дистанционно, за да контролира приложението сървър.
Тази уязвимост може да бъде задействана, ако автентичен TLS клиент се свърже със злонамерен сървър или ако автентичен TLS сървър се свърже със злонамерен клиент.
CVE-2022-3786
Тази уязвимост се използва точно като CVE-2022-3602. Единствената разлика е, че нападателят създава злонамерен имейл адрес, за да препълни произволен брой байтове, съдържащи „.“ знак (десетичен знак 46). В CVE-2022-3602 обаче се използват само четири байта, контролирани от нападателя.
Ретроспекцията на прословутата уязвимост „Heartbleed“.
Още през 2016 г. подобен проблем беше открит в OpenSSL, който получи „Критичен“ рейтинг на сериозност. Това беше грешка в обработката на паметта, която позволи на нападателите да компрометират секретни ключове, пароли и друга чувствителна информация в уязвими сървъри. Скандалната грешка е известна като Heartbleed (CVE-2014-0160) и до днес над 200 000 машини се смятат за уязвими на тази слабост.
Каква е корекцията?
В днешния свят, осведомен за киберсигурността, много платформи прилагат защити от препълване на стека, за да държат нападателите на разстояние. Това осигурява необходимото смекчаване срещу препълване на буфера.
Допълнително смекчаване на тези уязвимости включва надграждане до най-новата издадена версия на OpenSSL. Тъй като OpenSSL v3.0.0 до v3.0.6 е уязвим, препоръчва се да надстроите до OpenSSL v3.0.7. Въпреки това, ако използвате OpenSSL v1.1.1 и v1.0.2, можете да продължите да използвате тези версии, тъй като те не се влияят от двете уязвимости.
Двете уязвимости са трудни за експлоатиране
Шансовете за злоупотреба с тези уязвимости са ниски, тъй като едно от условията е неправилно образуван сертификат, подписан от доверен CA. Поради непрекъснато нарастващия пейзаж на атаките, повечето съвременни системи гарантират, че прилагат вградени механизми за сигурност, за да избегнат този тип атаки.
Киберсигурността е необходимост в днешния свят, с вградени и усъвършенствани механизми за защита, уязвимостите като тези са трудни за използване. Благодарение на актуализациите за сигурност, пуснати навреме от OpenSSL, не е нужно да се притеснявате за тези уязвимости. Просто вземете необходимите мерки като корекция на вашата система и внедряване на добри слоеве на сигурност, и сте в безопасност да използвате OpenSSL.
