নিরাপত্তা বিশেষজ্ঞরা দুটি অত্যন্ত প্রত্যাশিত দুর্বলতা বর্ণনা করেছেন যা ওপেনএসএসএল প্রজেক্ট টিম মঙ্গলবার এমন সমস্যা হিসাবে প্যাচ করেছে যেগুলিকে দ্রুত সমাধান করা প্রয়োজন, কিন্তু অগত্যা ড্রপ-এভরিথিং-অন্য ধরনের জরুরী প্রতিক্রিয়ার যোগ্য নয়।
প্রায় সর্বব্যাপী ব্যবহৃত ক্রিপ্টোগ্রাফিক লাইব্রেরির সংস্করণ 3.0.7-এর প্রকাশ দুটি বাফার ওভারফ্লো দুর্বলতার সমাধান করে, যা OpenSSL সংস্করণ 3.0.0 থেকে 3.0.6-তে বিদ্যমান।
প্রকাশের দিকে অগ্রসর হওয়া, নিরাপত্তা বিশেষজ্ঞরা সতর্ক করেছিলেন যে একটি সমস্যা, মূলত একটি "সমালোচনামূলক" হিসাবে চিহ্নিত করা হয়েছে রিমোট কোড-এক্সিকিউশন সমস্যা, একটি হার্টব্লিড-লেভেল, অল-হ্যান্ড-অন-ডেক সমস্যা উপস্থাপন করতে পারে। সৌভাগ্যবশত, এটি এমন মনে হচ্ছে না - এবং ত্রুটিটি প্রকাশ করার সময়, OpenSSL প্রকল্প দল বলেছে যে এটি করার সিদ্ধান্ত নিয়েছে হুমকিকে "উচ্চ"-এ নামিয়ে দিন বাগ পরীক্ষা ও বিশ্লেষণ করেছে এমন সংস্থাগুলির প্রতিক্রিয়ার উপর ভিত্তি করে।
বাফার ওভারফ্লো একটি জোড়া
প্রথম বাগ (জন্য CVE-2022-3602) প্রকৃতপক্ষে - একটি নির্দিষ্ট পরিস্থিতিতে - RCE সক্ষম করতে পারে, যা মূলত কিছু নিরাপত্তা বিশেষজ্ঞকে উদ্বিগ্ন করেছিল যে ত্রুটিটি শিল্প-ব্যাপী প্রতিক্রিয়া হতে পারে। কিন্তু দেখা যাচ্ছে যে সেখানে প্রশমিত পরিস্থিতি রয়েছে: একজনের জন্য, এটি শোষণ করা কঠিন, যেমনটি নীচে ব্যাখ্যা করা হয়েছে। এছাড়াও, সমস্ত সিস্টেম প্রভাবিত হয় না।
বিশেষত, শুধুমাত্র যে ব্রাউজারগুলি OpenSSL 3.0.0 থেকে 3.0.6 পর্যন্ত সমর্থন করে, যেমন Firefox এবং Internet Explorer, এই সময়ে প্রভাবিত হয়, Censys-এর সিনিয়র নিরাপত্তা গবেষক মার্ক এলজির মতে; উল্লেখযোগ্যভাবে প্রভাবিত হয়নি গুগল ক্রোম, যা নেতৃস্থানীয় ইন্টারনেট ব্রাউজার।
"আক্রমণের জটিলতা এবং কীভাবে এটি চালানো যেতে পারে তার সীমাবদ্ধতার কারণে প্রভাবটি ন্যূনতম হবে বলে আশা করা হচ্ছে," তিনি বলেছেন। "সংগঠনগুলির উচিত তাদের ফিশিং প্রশিক্ষণের উপর ব্রাশ করা এবং হুমকির গোয়েন্দা সূত্রের উপর নজর রাখা উচিত যাতে তারা এই ধরনের আক্রমণের দ্বারা লক্ষ্যবস্তু হয় তাহলে তারা প্রস্তুত রয়েছে।"
বুট করার জন্য, সাইকোডের প্রধান নিরাপত্তা গবেষক অ্যালেক্স ইলগায়েভ উল্লেখ করেছেন যে কিছু লিনাক্স ডিস্ট্রিবিউশনে ত্রুটিটি কাজে লাগানো যাবে না; এবং, অনেক আধুনিক ওএস প্ল্যাটফর্ম যে কোনো ঘটনাতে এই ধরনের হুমকির বিরুদ্ধে প্রশমিত করার জন্য স্ট্যাক ওভারফ্লো সুরক্ষা প্রয়োগ করে, ইলগায়েভ বলেছেন।
দ্বিতীয় দুর্বলতা (জন্য CVE-2022-3786), যা আসল ত্রুটির সমাধান করার সময় উন্মোচিত হয়েছিল, পরিষেবা অস্বীকার (DoS) শর্তগুলিকে ট্রিগার করতে ব্যবহার করা যেতে পারে৷ ওপেনএসএসএল টিম দুর্বলতাটিকে উচ্চ তীব্রতার বলে মূল্যায়ন করেছে কিন্তু RCE শোষণের জন্য এটি ব্যবহার করার সম্ভাবনাকে অস্বীকার করেছে।
উভয় দুর্বলতা একটি কার্যকারিতার সাথে আবদ্ধ পুনিকোড আন্তর্জাতিক ডোমেন নাম এনকোডিংয়ের জন্য।
“OpenSSL 3.0.0 – 3.0.6 এর ব্যবহারকারীরা যত তাড়াতাড়ি সম্ভব 3.0.7 তে আপগ্রেড করতে উত্সাহিত করা হয়েছে৷,” OpenSSL টিম ক্রিপ্টোগ্রাফিক লাইব্রেরির নতুন সংস্করণের বাগ প্রকাশ এবং প্রকাশের সাথে একটি ব্লগে বলেছে। "আপনি যদি আপনার অপারেটিং সিস্টেম বিক্রেতা বা অন্য তৃতীয় পক্ষের কাছ থেকে আপনার OpenSSL-এর অনুলিপি পান তবে আপনার যত তাড়াতাড়ি সম্ভব তাদের কাছ থেকে একটি আপডেট সংস্করণ নেওয়ার চেষ্টা করা উচিত।"
আরেকটি হার্টব্লিড নয়
বাগ ডিসক্লোজার নিশ্চিতভাবে কমিয়ে দেবে — এই মুহূর্তের জন্য, অন্তত — ব্যাপক উদ্বেগ ছড়িয়েছে ওপেনএসএসএল টিম এর তৎকালীন আসন্ন বাগ প্রকাশের গত সপ্তাহে বিজ্ঞপ্তির মাধ্যমে। প্রথম ত্রুটির বর্ণনা বিশেষত "সমালোচনামূলক" হিসাবে, 2014-এর "হার্টব্লিড" বাগ-এর সাথে একাধিক তুলনা করার প্ররোচনা দিয়েছে - একটি সমালোচনামূলক রেটিং অর্জন করার জন্য OpenSSL-এর একমাত্র অন্য বাগ। সেই বাগটি (CVE-2014-0160) ইন্টারনেটের বিস্তৃত অংশকে প্রভাবিত করেছে এবং এমনকি এখন পর্যন্ত অনেক প্রতিষ্ঠানে সম্পূর্ণভাবে সমাধান করা হয়নি।
সিনোপসিস সাইবারসিকিউরিটি রিসার্চ সেন্টারের গ্লোবাল রিসার্চের প্রধান জোনাথন নুডসেন বলেছেন, "যেকোনও সফ্টওয়্যারে ডিফল্টরূপে হার্টব্লিড প্রকাশ করা হয়েছিল যেটি OpenSSL-এর একটি দুর্বল সংস্করণ ব্যবহার করেছিল এবং সার্ভার মেমরিতে সংরক্ষিত ক্রিপ্টোগ্রাফিক কী এবং পাসওয়ার্ডগুলি দেখতে আক্রমণকারীদের দ্বারা এটি খুব সহজেই শোষণযোগ্য ছিল"। . "ওপেনএসএসএলে রিপোর্ট করা দুটি দুর্বলতা গুরুতর কিন্তু একই মাত্রার নয়।"
OpenSSL বাগগুলি শোষণ করা কঠিন…
নুডসেন বলেছেন, নতুন ত্রুটিগুলির মধ্যে একটিকে কাজে লাগাতে, দুর্বল সার্ভারগুলিকে ক্লায়েন্ট শংসাপত্র প্রমাণীকরণের অনুরোধ করতে হবে, যা আদর্শ নয়। এবং দুর্বল ক্লায়েন্টদের একটি দূষিত সার্ভারের সাথে সংযোগ করতে হবে, যা একটি সাধারণ এবং প্রতিরক্ষাযোগ্য আক্রমণ ভেক্টর, তিনি বলেছেন।
"এই দুটি দুর্বলতা সম্পর্কে কারও চুলে আগুন লাগানো উচিত নয়, তবে এগুলি গুরুতর এবং যথাযথ গতি এবং পরিশ্রমের সাথে পরিচালনা করা উচিত," তিনি নোট করেছেন৷
একটি ব্লগ পোস্টে, SANS ইন্টারনেট স্টর্ম সেন্টার ইতিমধ্যে OpenSSL আপডেটটিকে বর্ণনা করেছে শংসাপত্র যাচাইকরণ প্রক্রিয়া চলাকালীন একটি বাফার ওভাররান ঠিক করা. একটি শোষণ কাজ করার জন্য, শংসাপত্রটিতে একটি দূষিত পুনিকোড-এনকোডেড নাম থাকতে হবে এবং শংসাপত্রের চেইন যাচাই করার পরেই দুর্বলতা ট্রিগার হবে৷
SANS ISC উল্লেখ করেছে, "একজন আক্রমণকারীকে প্রথমে একটি শংসাপত্র কর্তৃপক্ষ দ্বারা স্বাক্ষরিত একটি দূষিত শংসাপত্র থাকতে হবে যা ক্লায়েন্ট বিশ্বাস করে৷ "এটি সার্ভারের বিরুদ্ধে শোষণযোগ্য বলে মনে হচ্ছে না। সার্ভারের জন্য, সার্ভার ক্লায়েন্টের কাছ থেকে একটি শংসাপত্রের অনুরোধ করলে এটি শোষণযোগ্য হতে পারে।"
নীচের লাইন: শোষণের সম্ভাবনা কম যেহেতু দুর্বলতা শোষণের জন্য জটিল, যেমন প্রবাহ এবং এটিকে ট্রিগার করার প্রয়োজনীয়তা, সাইকোডের ইলগায়েভ বলেছেন। এছাড়াও, এটি OpenSSL-এর পূর্ব-3.0 সংস্করণ ব্যবহারকারীদের তুলনায় অপেক্ষাকৃত কম সংখ্যক সিস্টেমকে প্রভাবিত করে।
…কিন্তু পরিশ্রমী হোন
একই সময়ে, এটা মনে রাখা গুরুত্বপূর্ণ যে অতীতে হার্ড-টু-শোষণ দুর্বলতাগুলি শোষণ করা হয়েছে, ইলগায়েভ বলেছেন, ইঙ্গিত করে একটি শূন্য-ক্লিক শোষণ যা এনএসও গ্রুপ iOS-এর একটি দুর্বলতার জন্য তৈরি করেছে৷ গত বছর.
"[এছাড়াও], ওপেনএসএসএল টিম যেমন বলে, 'প্রতিটি প্ল্যাটফর্ম এবং কম্পাইলার সংমিশ্রণ কীভাবে স্ট্যাকের বাফারগুলিকে সাজিয়েছে তা জানার কোনও উপায় নেই' এবং তাই কিছু প্ল্যাটফর্মে রিমোট কোড এক্সিকিউশন এখনও সম্ভব হতে পারে," তিনি সতর্ক করেন৷
এবং প্রকৃতপক্ষে, এলজেই একটি দৃশ্যের রূপরেখা দেয় কিভাবে আক্রমণকারীরা CVE-2022-3602 কে কাজে লাগাতে পারে, যে ত্রুটিটি OpenSSL টিম মূলত সমালোচনামূলক হিসাবে মূল্যায়ন করেছিল।
"একজন আক্রমণকারী একটি দূষিত সার্ভার হোস্ট করবে এবং ওপেনএসএসএল v3.x-এর জন্য ঝুঁকিপূর্ণ একটি অ্যাপ্লিকেশনের মাধ্যমে এটিকে প্রমাণীকরণ করার জন্য শিকার পেতে চেষ্টা করবে, সম্ভাব্যভাবে ঐতিহ্যগত ফিশিং কৌশলের মাধ্যমে," তিনি বলেছেন, যদিও শোষণ প্রধানত ক্লায়েন্ট হওয়ার কারণে সুযোগ সীমিত- পাশ
এই ধরনের দুর্বলতা একটি থাকার গুরুত্ব তুলে ধরে উপকরণ সফ্টওয়্যার বিল (SBOM) ব্যবহৃত প্রতিটি বাইনারির জন্য, ইলগায়েভ নোট করে। "প্যাকেজ ম্যানেজারদের দিকে তাকানো যথেষ্ট নয় কারণ এই লাইব্রেরিটি বিভিন্ন কনফিগারেশনে সংযুক্ত এবং সংকলিত হতে পারে যা শোষণকে প্রভাবিত করবে," তিনি বলেছেন।
