Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision.
Den sista veckan i oktober 2022 avslöjade OpenSSL Project två sårbarheter som hittades i OpenSSL-biblioteket. Både CVE-2022-360 och CVE-2022-3786 har märkts "Hög" svårighetsgrad med ett CVSS-poäng på 8,8, bara 0,2 poäng lägre än vad de skulle behöva för att betraktas som "Kritiska".
Problemet ligger i verifieringsprocessen av certifikat som OpenSSL utför för certifikatbaserad autentisering. Utnyttjandet av sårbarheterna kan göra det möjligt för en angripare att starta en DoS (Denial of Service) eller till och med en attack med fjärrkodexekvering. Patchar för de två svagheterna som finns i OpenSSL v3.0.0 till v3.06 har nu släppts.
Vad är OpenSSL?
OpenSSL är ett allmänt använt kommandoradsverktyg för kryptografi med öppen källkod som implementerats för att skydda webbtrafikutbytet mellan en klient och server. Den används för att generera offentliga och privata nycklar, installera SSL/TLS-certifikat, verifiera certifikatinformation och tillhandahålla kryptering.
Frågan kom upp den 17 oktober 2022 när Polar Bear avslöjade två sårbarheter på hög nivå som finns i OpenSSL version 3.0.0 till 3.0.6 till OpenSSL Project. Sårbarheterna är CVE-2022-3602 & CVE-2022-3786.
Den 25 oktober 2022 kom nyheten om sårbarheterna på internet. Mark Cox, en Red Hat Software Engineer och Apache Software Foundation VP of Security berättade nyheten i en tweet.
Hur kan en angripare utnyttja dessa sårbarheter?
Sårbarhetsparet CVE-2022-3602 och CVE-2022-3786 är benägna att buffertspillattack vilket är en cyberattack där serverminnesinnehåll missbrukas för att avslöja användarinformation och serverns privata nycklar eller utföra fjärrexekvering av kod.
CVE-2022-3602
Denna sårbarhet tillåter en angripare att dra fördel av buffertöverskridande i X.509-certifikatverifiering vid kontroll av namnbegränsningar. Detta händer efter verifiering av certifikatkedjan och kräver en CA-signatur på det skadliga certifikatet eller certifikatverifieringen för att fortsätta trots misslyckande med att mappa till en betrodd utfärdare.
En angripare kan inkorporera ett nätfiskesystem som att skapa en tillverkad e-postadress för att svämma över fyra byte i stacken. Detta kan resultera i en DoS-attack (Denial-of-Service) där tjänsten blir otillgänglig efter att den kraschar, eller angriparen kan utföra fjärrkodexekvering, vilket innebär att en kod körs på distans för att styra applikationen server.
Denna sårbarhet kan utlösas om en autentisk TLS-klient ansluter till en skadlig server eller om en autentisk TLS-server ansluter till en skadlig klient.
CVE-2022-3786
Denna sårbarhet utnyttjas precis som CVE-2022-3602. Den enda skillnaden är att en angripare skapar en skadlig e-postadress för att svämma över ett godtyckligt antal byte som innehåller "." tecken (decimal 46). I CVE-2022-3602 utnyttjas dock endast fyra byte som kontrolleras av angriparen.
Den ökända "Heartbleed"-sårbarheten tillbakablick
Redan 2016 upptäcktes ett liknande problem i OpenSSL som fick en "kritisk" svårighetsgrad. Detta var ett minneshanteringsfel som gjorde det möjligt för angripare att äventyra hemliga nycklar, lösenord och annan känslig information på sårbara servrar. Den ökända buggen är känd som Heartbleed (CVE-2014-0160) och till denna dag bedöms över 200 000 maskiner vara sårbara för denna svaghet.
Vad är åtgärden?
I dagens cybersäkerhetsmedvetna värld implementerar många plattformar stack overflow-skydd för att hålla angripare på avstånd. Detta ger nödvändig begränsning mot buffertspill.
Ytterligare begränsning av dessa sårbarheter innebär att uppgradera till den senaste versionen av OpenSSL. Eftersom OpenSSL v3.0.0 till v3.0.6 är sårbart rekommenderar vi att du uppgraderar till OpenSSL v3.0.7. Däremot om du använder OpenSSL v1.1.1 och v1.0.2 kan du fortsätta att använda dessa versioner eftersom de inte påverkas av de två sårbarheter.
De två sårbarheterna är svåra att utnyttja
Risken för att dessa sårbarheter missbrukas är låga eftersom ett av förutsättningarna är ett felaktigt certifikat undertecknat av en betrodd CA. På grund av det ständigt ökande attacklandskapet ser de flesta moderna system till att implementera inbyggda säkerhetsmekanismer för att undvika dessa typer av attacker.
Cybersäkerhet är en nödvändighet i dagens värld, med inbyggda och avancerade skyddsmekanismer är sårbarheter som dessa svåra att utnyttja. Tack vare säkerhetsuppdateringarna som släpptes av OpenSSL i tid, behöver du inte oroa dig för dessa sårbarheter. Ta bara nödvändiga åtgärder som att patcha ditt system och implementera bra säkerhetslager, så är du säker att använda OpenSSL.