Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską.
W ostatnim tygodniu października 2022 r. firma OpenSSL Project ujawniła dwie luki znalezione w bibliotece OpenSSL. Zarówno CVE-2022-360, jak i CVE-2022-3786 zostały oznaczone jako problemy o „wysokiej” wadze z wynikiem CVSS 8,8, czyli tylko o 0,2 punktu niższym niż to, co trzeba by uznać za „krytyczne”.
Problem leży w procesie weryfikacji certyfikatów, który OpenSSL wykonuje w celu uwierzytelnienia opartego na certyfikatach. Wykorzystanie luk w zabezpieczeniach może pozwolić osobie atakującej na przeprowadzenie ataku typu „odmowa usługi” (DoS) lub nawet zdalnego wykonania kodu. Łatki usuwające dwie słabości wykryte w OpenSSL v3.0.0 do v3.06 zostały już wydane.
Co to jest OpenSSL?
OpenSSL to szeroko stosowane narzędzie wiersza poleceń do kryptografii typu open source, zaimplementowane w celu zapewnienia bezpieczeństwa wymiany ruchu sieciowego między klientem a serwerem. Służy do generowania kluczy publicznych i prywatnych, instalowania certyfikatów SSL/TLS, weryfikowania informacji o certyfikacie i zapewniania szyfrowania.
Problem wyszedł na jaw 17 października 2022 r., kiedy Polar Bear ujawnił dwie luki wysokiego poziomu znalezione w OpenSSL w wersjach od 3.0.0 do 3.0.6 firmie OpenSSL Project. Luki to CVE-2022-3602 i CVE-2022-3786.
25 października 2022 roku w internecie pojawiła się informacja o lukach. Mark Cox, inżynier oprogramowania Red Hat i wiceprezes Apache Software Foundation ds. bezpieczeństwa przekazał tę wiadomość w tweecie.
W jaki sposób osoba atakująca może wykorzystać te luki?
Para luk CVE-2022-3602 i CVE-2022-3786 jest podatna na atak przepełnienia bufora który jest cyberatakiem, w którym zawartość pamięci serwera jest wykorzystywana do ujawnienia informacji o użytkowniku i prywatnych kluczy serwera lub zdalnego wykonania kodu.
CVE-2022-3602
Ta luka umożliwia osobie atakującej wykorzystanie przepełnienia bufora podczas weryfikacji certyfikatu X.509 podczas sprawdzania ograniczeń nazw. Dzieje się tak po weryfikacji łańcucha certyfikatów i wymaga podpisu urzędu certyfikacji na złośliwym certyfikacie lub weryfikacji certyfikatu, aby kontynuować pomimo niepowodzenia mapowania na zaufanego wystawcę.
Atakujący może włączyć schemat phishingowy na przykład utworzenie sfabrykowanego adresu e-mail w celu przepełnienia czterech bajtów na stosie. Może to spowodować atak typu „odmowa usługi” (DoS), w którym usługa staje się niedostępna po awarii lub osoba atakująca może wykonać zdalne wykonanie kodu, co oznacza, że kod jest zdalnie uruchamiany w celu kontrolowania aplikacji serwer.
Ta luka może zostać uruchomiona, jeśli autentyczny klient TLS połączy się ze złośliwym serwerem lub jeśli autentyczny serwer TLS połączy się ze złośliwym klientem.
CVE-2022-3786
Luka ta jest wykorzystywana podobnie jak luka CVE-2022-3602. Jedyna różnica polega na tym, że atakujący tworzy złośliwy adres e-mail w celu przepełnienia dowolnej liczby bajtów zawierających „.” znak (46 dziesiętnych). Jednak w CVE-2022-3602 wykorzystywane są tylko cztery bajty kontrolowane przez atakującego.
Notoryczna retrospekcja luki w zabezpieczeniach „Heartbleed”.
W 2016 roku podobny problem został wykryty w OpenSSL, któremu nadano ocenę ważności „Krytyczny”. Był to błąd związany z obsługą pamięci, który umożliwił atakującym złamanie tajnych kluczy, haseł i innych poufnych informacji na wrażliwych serwerach. Niesławny błąd jest znany jako Krwawienie serca (CVE-2014-0160) i do dziś ponad 200 000 maszyn jest narażonych na tę słabość.
Jaka jest poprawka?
W dzisiejszym świecie świadomym cyberbezpieczeństwa wiele platform wdraża zabezpieczenia przed przepełnieniem stosu, aby powstrzymać atakujących. Zapewnia to niezbędne ograniczenie przepełnienia bufora.
Dalsze ograniczanie tych luk obejmuje uaktualnienie do najnowszej wydanej wersji OpenSSL. Ponieważ oprogramowanie OpenSSL w wersji 3.0.0 do wersji 3.0.6 jest podatne na ataki, zaleca się uaktualnienie do wersji OpenSSL w wersji 3.0.7. Jeśli jednak używasz OpenSSL v1.1.1 i v1.0.2, możesz nadal używać tych wersji, ponieważ te dwie wersje nie mają na nie wpływu luki w zabezpieczeniach.
Te dwie luki są trudne do wykorzystania
Szanse na wykorzystanie tych luk są niskie, ponieważ jednym z warunków jest zniekształcony certyfikat podpisany przez zaufany urząd certyfikacji. Ze względu na stale rosnący krajobraz ataków większość nowoczesnych systemów zapewnia wdrożenie wbudowanych mechanizmów bezpieczeństwa, aby uniknąć tego typu ataków.
Cyberbezpieczeństwo jest koniecznością w dzisiejszym świecie, z wbudowanymi i zaawansowanymi mechanizmami ochrony, takie luki są trudne do wykorzystania. Dzięki aktualizacjom bezpieczeństwa wydanym na czas przez OpenSSL nie musisz się martwić o te luki. Wystarczy podjąć niezbędne środki, takie jak załatanie systemu i wdrożenie odpowiednich warstw zabezpieczeń, aby można było bezpiecznie korzystać z OpenSSL.