وصف خبراء الأمن ثغرتين من نقاط الضعف المرتقبة للغاية والتي قام فريق مشروع OpenSSL بتصحيحها يوم الثلاثاء باعتبارهما من المشكلات التي يجب معالجتها بسرعة ، ولكن لا تستحق بالضرورة نوعًا من الاستجابة للطوارئ.
يعالج إصدار الإصدار 3.0.7 من مكتبة التشفير المستخدمة في كل مكان تقريبًا ثغرتين من ثغرات تجاوز سعة المخزن المؤقت ، والتي توجد في إصدارات OpenSSL من 3.0.0 إلى 3.0.6.
وقبيل الكشف ، حذر خبراء أمنيون من أن إحدى القضايا ، تم وصفه في الأصل بأنه "حرج" مشكلة تنفيذ التعليمات البرمجية عن بُعد ، يمكن أن تمثل مشكلة على مستوى Heartbleed ، ومتعددة الوظائف على سطح السفينة. لحسن الحظ ، لا يبدو أن هذا هو الحال - وفي الكشف عن الخلل ، قال فريق مشروع OpenSSL إنه قرر تقليل مستوى التهديد إلى "مرتفع" استنادًا إلى التعليقات الواردة من المؤسسات التي اختبرت الخطأ وحللته.
زوج من تجاوزات المخزن المؤقت
أول خطأ (CVE-2022-3602) في الواقع - في ظل مجموعة محددة من الظروف - تمكن RCE ، الأمر الذي أدى في الأصل إلى قلق بعض خبراء الأمن من أن الخلل قد يكون له تداعيات على مستوى الصناعة. لكن اتضح أن هناك ظروفًا مخففة: أولاً ، من الصعب استغلالها ، كما هو موضح أدناه. أيضًا ، لم تتأثر جميع الأنظمة.
على وجه التحديد ، تتأثر المتصفحات التي تدعم OpenSSL 3.0.0 حتى 3.0.6 فقط ، مثل Firefox و Internet Explorer ، في هذا الوقت ، وفقًا لمارك Ellzey ، كبير باحثي الأمن في Censys ؛ لم يتأثر بشكل خاص Google Chrome ، وهو متصفح الإنترنت الرائد.
يقول: "من المتوقع أن يكون التأثير ضئيلًا بسبب تعقيد الهجوم والقيود في كيفية تنفيذه". "يجب على المنظمات أن تصقل تدريبها على التصيد الاحتيالي وأن تراقب مصادر معلومات التهديد للتأكد من أنها مستعدة إذا تم استهدافها بهجوم مثل هذا."
للإقلاع ، أشار Alex Ilgayev ، الباحث الأمني الرئيسي في Cycode ، إلى أنه لا يمكن استغلال الخلل في بعض توزيعات Linux ؛ يقول إيلجاييف إن العديد من منصات أنظمة التشغيل الحديثة تنفذ حماية من تجاوز التدفق للتخفيف من مثل هذه التهديدات في أي حال.
الثغرة الثانية (CVE-2022-3786) ، الذي تم الكشف عنه أثناء تطوير إصلاح الخلل الأصلي ، يمكن استخدامه لإطلاق شروط رفض الخدمة (DoS). قام فريق OpenSSL بتقييم الضعف على أنه شديد الخطورة ولكنه استبعد إمكانية استخدامها لاستغلال RCE.
كلتا الثغرات الأمنية مرتبطة بوظيفة تسمى شفرة punycode لترميز أسماء النطاقات الدولية.
"مستخدمو OpenSSL 3.0.0 - 3.0.6 هم شجعت على الترقية إلى 3.0.7 في أقرب وقت ممكنقال فريق OpenSSL في مدونة مصاحبة للكشف عن الأخطاء وإصدار الإصدار الجديد من مكتبة التشفير. "إذا حصلت على نسختك من OpenSSL من بائع نظام التشغيل أو جهة خارجية أخرى ، فعليك السعي للحصول على نسخة محدثة منهم في أقرب وقت ممكن."
ليس آخر Heartbleed
من المؤكد أن الكشف عن الخطأ سيقلل - في الوقت الحالي ، على الأقل - أثار القلق على نطاق واسع بواسطة إشعار فريق OpenSSL الأسبوع الماضي بالكشف عن الخطأ الوشيك حينها. وصف الخلل الأول بأنه "بالغ الأهمية" ، على وجه الخصوص ، قد دفع إلى إجراء مقارنات عديدة مع خطأ "Heartbleed" لعام 2014 - وهو الخطأ الآخر الوحيد في OpenSSL الذي حصل على تصنيف نقدي. أثر هذا الخطأ (CVE-2014-0160) على مساحة واسعة من الإنترنت وحتى الآن لم تتم معالجته بالكامل في العديد من المنظمات.
يقول جوناثان كنودسن ، رئيس الأبحاث العالمية في مركز أبحاث الأمن الإلكتروني Synopsys . "نقطتا الضعف التي تم الإبلاغ عنها للتو في OpenSSL خطيرة ولكن ليست بنفس الحجم."
من الصعب استغلال أخطاء OpenSSL ...
لاستغلال أي من العيوب الجديدة ، ستحتاج الخوادم الضعيفة إلى طلب مصادقة شهادة العميل ، وهذا ليس هو القاعدة ، كما يقول كنودسن. وسيحتاج العملاء المعرضون للخطر إلى الاتصال بخادم ضار ، وهو ناقل مألوف للهجوم ويمكن الدفاع عنه ، كما يقول.
"لا ينبغي أن يكون شعر أي شخص ملتهبًا بشأن هاتين الثغرتين ، لكنهما خطيرتان ويجب التعامل معه بالسرعة والاجتهاد المناسبين ،" يلاحظ.
في إحدى المدونات ، وصف مركز SANS Internet Storm Center في الوقت نفسه تحديث OpenSSL بأنه إصلاح تجاوز المخزن المؤقت أثناء عملية التحقق من الشهادة. لكي يعمل أحد الثغرات ، يجب أن تحتوي الشهادة على اسم خبيث بترميز Punycode ، ولن يتم تشغيل الثغرة الأمنية إلا بعد التحقق من سلسلة الشهادات.
"يحتاج المهاجم أولاً إلى أن يكون قادرًا على الحصول على شهادة ضارة موقعة من قبل مرجع مصدق يثق به العميل" ، أشار SANS ISC. "لا يبدو أن هذا يمكن استغلاله ضد الخوادم. بالنسبة للخوادم ، قد يكون هذا قابلاً للاستغلال إذا طلب الخادم شهادة من العميل ".
خلاصة القول: إن احتمالية الاستغلال منخفضة لأن الضعف معقد للاستغلال ، كما هو الحال مع التدفق والمتطلبات لتشغيله ، كما يقول Ilgayev من Cycode. بالإضافة إلى ذلك ، فإنه يؤثر على عدد صغير نسبيًا من الأنظمة ، مقارنةً بتلك التي تستخدم إصدارات ما قبل 3.0 من OpenSSL.
… لكن كن مجتهد
في الوقت نفسه ، من المهم أن تضع في اعتبارك أن الثغرات التي يصعب استغلالها قد تم استغلالها في الماضي ، كما يقول إيلجاييف ، مشيرًا إلى استغلال بدون نقرة طورته NSO Group لثغرة أمنية في iOS العام الماضي.
"[أيضًا] ، كما يقول فريق OpenSSL ، لا توجد طريقة لمعرفة كيفية قيام كل مجموعة من الأنظمة الأساسية والمترجم بترتيب المخازن المؤقتة على المكدس" ، وبالتالي قد يظل تنفيذ التعليمات البرمجية عن بُعد ممكنًا على بعض الأنظمة الأساسية ، "كما يحذر.
وبالفعل ، يحدد Ellzey سيناريو واحدًا لكيفية استغلال المهاجمين CVE-2022-3602 ، وهو الخلل الذي قيمه فريق OpenSSL في الأصل على أنه خطير.
يقول: "قد يستضيف المهاجم خادمًا ضارًا ويحاول جعل الضحايا يصادقون عليه باستخدام تطبيق عرضة لـ OpenSSL v3.x ، ربما من خلال تكتيكات التصيد التقليدية" ، على الرغم من أن النطاق محدود بسبب الاستغلال الذي يغلب عليه العميل- جانب.
تسلط نقاط الضعف مثل هذه الضوء على أهمية وجود ملف فاتورة المواد البرمجية (SBOM) لكل ثنائي مستخدم ، يلاحظ Ilgayev. "إن النظر إلى مديري الحزم لا يكفي لأن هذه المكتبة يمكن ربطها وتجميعها في تكوينات مختلفة ستؤثر على قابلية الاستغلال" ، كما يقول.
