Patches OpenSSL lançados e vulnerabilidade crítica acaba não sendo tão crítica

Critical vulnerability in OpenSSL

No final de outubro, Os desenvolvedores do OpenSSL alertaram que a próxima atualização da versão 3.0.7 fecharia uma vulnerabilidade crítica. Notavelmente, este seria apenas o segundo bug crítico no OpenSSL desde 2016.

Agora isso OpenSSL 3.0.7 foi lançado oficialmente, descobriu-se que correções foram lançadas para duas vulnerabilidades graves de uma só vez, e a classificação crítica do bug foi revisada, e não é mais considerado como tal.

Versão 3.0.7 corrigiu duas vulnerabilidades de uma vez (CVE-2022-3602 e CVE-2022-3786) afetando versões OpenSSL 3.0.0 e mais alto (de 3.0.0 para 3.0.6).

O status crítico deveria ter sido CVE-2022-3602, que é um estouro de buffer de pilha arbitrário de 4 bytes que pode causar travamentos ou levar à execução arbitrária de código (RCE).

Em última análise, esta vulnerabilidade foi classificada como de alta gravidade, pois de acordo com o regras, um bug crítico deve afetar configurações generalizadas, e apenas instâncias de OpenSSL 3.0 e mais tarde são vulneráveis ​​a CVE-2022-3602.

A segunda questão, CVE-2022-3786, pode ser explorado por um invasor em potencial por meio de endereços de e-mail maliciosos e é capaz de causar negação de serviço por meio de buffer overflow.

Continuamos a considerar esses problemas como vulnerabilidades graves, e os usuários afetados são incentivados a instalar as atualizações o mais rápido possível. Não temos conhecimento de nenhuma exploração funcional que possa levar à execução remota de código, e no momento desta postagem, não temos evidências de exploração desses problemas.escrevem os desenvolvedores do OpenSSL.

Apesar das garantias dos desenvolvedores, alguns especialistas e fornecedores de segurança da informação foram rápidos em equiparar a descoberta de uma vulnerabilidade no OpenSSL com o sensacional Log4Shell problema, descoberto em 2021 no Log4J biblioteca.

<span longo = "um">Patches OpenSSL lançados e vulnerabilidade crítica acaba não sendo tão crítica</período>

Computador bipando observa que tal pânico é prematuro: de acordo com Censys, apenas sobre 7,000 sistemas executando versões vulneráveis ​​do OpenSSL podem ser encontradas na rede (entre mais de 1,793,000 anfitriões únicos), e de acordo com Shodan, há sobre 16 tais casos.

Empresa de segurança em nuvem Wiz.io analisado implantações nos principais ambientes de nuvem (como AWS, GCP, Azul, OCI, e Nuvem Alibaba) e também relata que apenas 1.5% de todas as instâncias OpenSSL são afetadas pela vulnerabilidade mais recente.

Vulnerabilidade crítica no OpenSSL

Uma página separada dedicado à CVE-2022-3602 e todos os dados relacionados foram lançados por um conhecido especialista em segurança da informação Marcus Hutchins. Ele explica que o problema ocorre ao validar um certificado X.509 e pode ser usado para executar código usando um certificado TLS malicioso remotamente. No entanto, a exploração exige que o certificado TLS malicioso seja assinado por uma CA confiável.

Marcus Hutchins
Marcus Hutchins
Como a validação do certificado normalmente é realizada no lado do cliente, esta vulnerabilidade afeta principalmente clientes, não servidores. Existe um cenário em que o servidor pode ser invadido Autenticação de cliente TLS, que pode ignorar o requisito de assinatura da CA, já que os certificados de cliente normalmente não precisam ser assinados dessa forma. Porque essa autenticação é rara e não está habilitada na maioria dos servidores, o risco de exploração dos servidores deve ser baixo. Dado que a vulnerabilidade é principalmente do lado do cliente e exige que o certificado malicioso seja assinado por uma CA confiável (ou para o usuário ignorar o aviso), é difícil explorar, e classifico a probabilidade de exploração como baixa.Hutchins escreve.

O Centro Nacional de Cibersegurança dos Países Baixos já começou a compilar um lista de produtos que são afetados ou não pelo bug mais recente.

Vale a pena dizer que Akamai analistas classificaram Red Hat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12 e Fedora 36 distribuições tão vulnerável. Os especialistas da empresa já publicaram OSQuery e CRIANÇAS regras que devem ajudar os especialistas em segurança a detectar produtos vulneráveis.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *