Bralci, kot ste vi, pomagajo podpirati MUO. Ko opravite nakup prek povezav na našem spletnem mestu, lahko zaslužimo partnersko provizijo.
V zadnjem tednu oktobra 2022 je projekt OpenSSL razkril dve ranljivosti, najdeni v knjižnici OpenSSL. Težavi CVE-2022-360 in CVE-2022-3786 sta bili označeni kot "visoka" resnost z oceno CVSS 8,8, kar je le 0,2 točke nižje od tistega, kar bi morali šteti za "kritično".
Težava je v postopku preverjanja potrdil, ki ga OpenSSL izvaja za preverjanje pristnosti na podlagi potrdila. Izkoriščanje ranljivosti bi lahko napadalcu omogočilo napad z zavrnitvijo storitve (DoS) ali celo napad z oddaljenim izvajanjem kode. Popravki za dve slabosti, najdeni v OpenSSL v3.0.0 do v3.06, so zdaj izdani.
Kaj je OpenSSL?
OpenSSL je široko uporabljen odprtokodni kriptografski pripomoček ukazne vrstice, ki je implementiran za varno izmenjavo spletnega prometa med odjemalcem in strežnikom. Uporablja se za ustvarjanje javnih in zasebnih ključev, namestitev certifikatov SSL/TLS, preverjanje informacij o certifikatih in zagotavljanje šifriranja.
Težava je prišla na dan 17. oktobra 2022, ko je Polar Bear projektu OpenSSL razkril dve ranljivosti na visoki ravni, najdeni v različici OpenSSL od 3.0.0 do 3.0.6. Ranljivosti sta CVE-2022-3602 in CVE-2022-3786.
25. oktobra 2022 je novica o ranljivostih prišla na splet. Mark Cox, programski inženir Red Hat in podpredsednik varnosti pri Apache Software Foundation, je novico objavil v tvitu.
Kako lahko napadalec izkoristi te ranljivosti?
Dvojica ranljivosti CVE-2022-3602 in CVE-2022-3786 sta nagnjena k napad prekoračitve medpomnilnika ki je kibernetski napad, pri katerem se vsebina pomnilnika strežnika zlorabi za razkritje podatkov o uporabniku in zasebnih ključev strežnika ali za izvedbo oddaljenega izvajanja kode.
CVE-2022-3602
Ta ranljivost omogoča napadalcu, da izkoristi prekoračitev medpomnilnika pri preverjanju potrdila X.509 pri preverjanju omejitve imena. To se zgodi po preverjanju verige potrdil in zahteva podpis CA na zlonamernem potrdilu ali preverjanje potrdila, da se nadaljuje kljub neuspešni preslikavi v zaupanja vrednega izdajatelja.
Napadalec lahko vključi lažno predstavljanje kot je ustvarjanje izmišljenega e-poštnega naslova za prepolnitev štirih bajtov na skladu. To lahko povzroči napad zavrnitve storitve (DoS), pri katerem storitev po zrušitvi postane nedosegljiva, ali napadalec lahko izvede oddaljeno izvajanje kode, kar pomeni, da se koda izvaja na daljavo za nadzor aplikacije strežnik.
Ta ranljivost se lahko sproži, če se avtentični odjemalec TLS poveže z zlonamernim strežnikom ali če se avtentični strežnik TLS poveže z zlonamernim odjemalcem.
CVE-2022-3786
Ta ranljivost se izkorišča tako kot CVE-2022-3602. Edina razlika je v tem, da napadalec ustvari zlonamerni e-poštni naslov, da preseže poljubno število bajtov, ki vsebujejo ».« znak (decimalno 46). Vendar pa so v CVE-2022-3602 izkoriščeni le štirje bajti, ki jih nadzoruje napadalec.
Razvpiti povratek ranljivosti »Heartbleed«.
Leta 2016 je bila podobna težava odkrita v OpenSSL, ki je dobila oceno resnosti »Kritično«. To je bila napaka pri ravnanju s pomnilnikom, ki je napadalcem omogočila, da ogrozijo skrivne ključe, gesla in druge občutljive podatke v ranljivih strežnikih. Zloglasni hrošč je znan kot Heartbleed (CVE-2014-0160) in do danes je več kot 200.000 strojev ranljivih za to slabost.
Kaj je popravek?
V današnjem svetu, ki se zaveda kibernetske varnosti, številne platforme izvajajo zaščito pred prelivanjem skladov, da zadržijo napadalce. To zagotavlja potrebno ublažitev pred prelivanjem medpomnilnika.
Nadaljnja ublažitev teh ranljivosti vključuje nadgradnjo na najnovejšo izdano različico OpenSSL. Ker je OpenSSL v3.0.0 do v3.0.6 ranljiv, priporočamo, da nadgradite na OpenSSL v3.0.7. Vendar, če uporabljate OpenSSL v1.1.1 in v1.0.2, ti različici lahko še naprej uporabljate, saj nanju ne vplivata ranljivosti.
Dve ranljivosti je težko izkoristiti
Možnosti, da bodo te ranljivosti zlorabljene, so majhne, ker je eden od pogojev napačno oblikovano potrdilo, ki ga je podpisal zaupanja vreden CA. Zaradi vedno večjega obsega napadov večina sodobnih sistemov poskrbi za implementacijo vgrajenih varnostnih mehanizmov za izogibanje tovrstnim napadom.
Kibernetska varnost je v današnjem svetu nujna, z vgrajenimi in naprednimi zaščitnimi mehanizmi je takšne ranljivosti težko izkoristiti. Zahvaljujoč varnostnim posodobitvam, ki jih je OpenSSL izdal pravočasno, vam ni treba skrbeti za te ranljivosti. Preprosto izvedite potrebne ukrepe, kot je popravek sistema in uvedba dobrih ravni varnosti, in varni boste za uporabo OpenSSL.