Οι ειδικοί σε θέματα ασφάλειας περιέγραψαν δύο πολύ αναμενόμενες ευπάθειες που επιδιορθώθηκαν την Τρίτη από την ομάδα του OpenSSL Project ως ζητήματα που πρέπει να αντιμετωπιστούν γρήγορα, αλλά δεν χρειάζονται απαραίτητα μια απόκριση έκτακτης ανάγκης.
Η έκδοση της έκδοσης 3.0.7 της σχεδόν πανταχού χρησιμοποιούμενης κρυπτογραφικής βιβλιοθήκης αντιμετωπίζει δύο τρωτά σημεία υπερχείλισης buffer, τα οποία υπάρχουν στις εκδόσεις OpenSSL 3.0.0 έως 3.0.6.
Μέχρι την αποκάλυψη, ειδικοί σε θέματα ασφάλειας είχαν προειδοποιήσει ότι ένα από τα ζητήματα, αρχικά χαρακτηρίστηκε ως «κρίσιμο» πρόβλημα απομακρυσμένης εκτέλεσης κώδικα, θα μπορούσε να παρουσιάσει ένα πρόβλημα σε επίπεδο Heartbleed, all-hands-on-deck. Ευτυχώς, αυτό δεν φαίνεται να ισχύει — και αποκαλύπτοντας το ελάττωμα, η ομάδα του έργου OpenSSL είπε ότι είχε αποφασίσει να υποβάθμιση της απειλής σε "υψηλό" με βάση τα σχόλια από οργανισμούς που είχαν δοκιμάσει και αναλύσει το σφάλμα.
Ένα ζευγάρι υπερχειλίζει buffer
Το πρώτο σφάλμα (CVE-2022-3602) θα μπορούσε πράγματι — υπό συγκεκριμένες συνθήκες — να επιτρέψει το RCE, γεγονός που οδήγησε αρχικά ορισμένους ειδικούς σε θέματα ασφάλειας να ανησυχούν ότι το ελάττωμα θα μπορούσε να έχει επιπτώσεις σε ολόκληρη τη βιομηχανία. Αλλά αποδεικνύεται ότι υπάρχουν ελαφρυντικές περιστάσεις: Για ένα, είναι δύσκολο να το εκμεταλλευτείς, όπως εξηγείται παρακάτω. Επίσης, δεν επηρεάζονται όλα τα συστήματα.
Συγκεκριμένα, μόνο τα προγράμματα περιήγησης που υποστηρίζουν OpenSSL 3.0.0 έως 3.0.6, όπως ο Firefox και ο Internet Explorer, επηρεάζονται αυτήν τη στιγμή, σύμφωνα με τον Mark Ellzey, ανώτερο ερευνητή ασφάλειας στο Censys. Δεν επηρεάζεται ιδιαίτερα το Google Chrome, το οποίο είναι το κορυφαίο πρόγραμμα περιήγησης στο Διαδίκτυο.
«Οι επιπτώσεις αναμένεται να είναι ελάχιστες λόγω της πολυπλοκότητας της επίθεσης και των περιορισμών στο πώς μπορεί να εκτελεστεί», λέει. «Οι οργανισμοί θα πρέπει να ανανεώσουν την εκπαίδευσή τους στο phishing και να παρακολουθούν πηγές πληροφοριών απειλών για να διασφαλίσουν ότι είναι προετοιμασμένες εάν στοχοποιηθούν από μια επίθεση όπως αυτή».
Για την εκκίνηση, ο Alex Ilgayev, επικεφαλής ερευνητής ασφάλειας στη Cycode, σημείωσε ότι το ελάττωμα δεν μπορεί να αξιοποιηθεί σε ορισμένες διανομές Linux. Και, πολλές σύγχρονες πλατφόρμες λειτουργικού συστήματος εφαρμόζουν προστασίες υπερχείλισης στοίβας για να μετριάσουν από απειλές όπως αυτές σε κάθε περίπτωση, λέει ο Ilgayev.
Η δεύτερη ευπάθεια (CVE-2022-3786), το οποίο αποκαλύφθηκε ενώ αναπτύχθηκε μια διόρθωση για το αρχικό ελάττωμα, θα μπορούσε να χρησιμοποιηθεί για την ενεργοποίηση συνθηκών άρνησης υπηρεσίας (DoS). Η ομάδα του OpenSSL αξιολόγησε την ευπάθεια ως υψηλής σοβαρότητας, αλλά απέκλεισε την πιθανότητα να χρησιμοποιηθεί για εκμετάλλευση RCE.
Και τα δύο τρωτά σημεία συνδέονται με μια λειτουργία που ονομάζεται Punycode για την κωδικοποίηση διεθνοποιημένων ονομάτων τομέα.
«Οι χρήστες του OpenSSL 3.0.0 – 3.0.6 είναι ενθαρρύνονται να αναβαθμίσουν σε 3.0.7 το συντομότερο δυνατό», ανέφερε η ομάδα του OpenSSL σε ένα ιστολόγιο που συνοδεύει την αποκάλυψη σφαλμάτων και την κυκλοφορία της νέας έκδοσης της κρυπτογραφικής βιβλιοθήκης. "Εάν λάβετε το αντίγραφο του OpenSSL από τον προμηθευτή του λειτουργικού σας συστήματος ή άλλο τρίτο μέρος, τότε θα πρέπει να αναζητήσετε μια ενημερωμένη έκδοση από αυτούς το συντομότερο δυνατό."
Όχι άλλη αιμορραγία
Η αποκάλυψη σφαλμάτων είναι βέβαιο ότι θα περιορίσει — προς το παρόν, τουλάχιστον — πυροδότησε την εκτεταμένη ανησυχία από την ειδοποίηση της ομάδας OpenSSL την περασμένη εβδομάδα για την τότε επικείμενη αποκάλυψη σφαλμάτων. Η περιγραφή του πρώτου ελαττώματος ως «κρίσιμου», ειδικότερα, είχε προκαλέσει αρκετές συγκρίσεις με το σφάλμα «Heartbleed» του 2014 — το μόνο άλλο σφάλμα στο OpenSSL που κέρδισε κρίσιμη βαθμολογία. Αυτό το σφάλμα (CVE-2014-0160) επηρέασε ένα ευρύ φάσμα του Διαδικτύου και ακόμη και τώρα δεν έχει αντιμετωπιστεί πλήρως σε πολλούς οργανισμούς.
«Το Heartbleed εκτέθηκε από προεπιλογή σε οποιοδήποτε λογισμικό που χρησιμοποιούσε μια ευάλωτη έκδοση του OpenSSL και ήταν πολύ εύκολα εκμεταλλεύσιμο από τους εισβολείς για να δουν κρυπτογραφικά κλειδιά και κωδικούς πρόσβασης αποθηκευμένους στη μνήμη διακομιστή», λέει ο Jonathan Knudsen, επικεφαλής της παγκόσμιας έρευνας στο Synopsys Cybersecurity Research Center. . "Τα δύο τρωτά σημεία που μόλις αναφέρθηκαν στο OpenSSL είναι σοβαρά αλλά όχι του ίδιου μεγέθους."
Τα σφάλματα OpenSSL είναι δύσκολο να τα εκμεταλλευτούμε…
Για να εκμεταλλευτούν οποιοδήποτε από τα νέα ελαττώματα, οι ευάλωτοι διακομιστές θα πρέπει να ζητήσουν έλεγχο ταυτότητας πιστοποιητικού πελάτη, κάτι που δεν είναι ο κανόνας, λέει ο Knudsen. Και οι ευάλωτοι πελάτες θα πρέπει να συνδεθούν σε έναν κακόβουλο διακομιστή, ο οποίος είναι ένας κοινός και υπερασπιστής φορέας επίθεσης, λέει.
«Κανένας δεν πρέπει να έχει φωτιά για αυτά τα δύο τρωτά σημεία, αλλά είναι σοβαρά και θα πρέπει να αντιμετωπίζονται με την κατάλληλη ταχύτητα και επιμέλεια», σημειώνει.
Σε μια ανάρτηση ιστολογίου, το SANS Internet Storm Center εν τω μεταξύ περιέγραψε την ενημέρωση OpenSSL ως διόρθωση υπέρβασης buffer κατά τη διαδικασία επαλήθευσης πιστοποιητικού. Για να λειτουργήσει ένα exploit, το πιστοποιητικό θα πρέπει να περιέχει ένα κακόβουλο όνομα κωδικοποιημένο με Punycode και η ευπάθεια θα ενεργοποιείται μόνο αφού επαληθευτεί η αλυσίδα πιστοποιητικών.
"Ένας εισβολέας πρέπει πρώτα να μπορεί να έχει ένα κακόβουλο πιστοποιητικό υπογεγραμμένο από μια αρχή έκδοσης πιστοποιητικών την οποία εμπιστεύεται ο πελάτης", σημείωσε η SANS ISC. «Αυτό δεν φαίνεται να είναι εκμεταλλεύσιμο έναντι των διακομιστών. Για διακομιστές, αυτό μπορεί να είναι εκμεταλλεύσιμο εάν ο διακομιστής ζητήσει πιστοποιητικό από τον πελάτη."
Κατώτατη γραμμή: Η πιθανότητα εκμετάλλευσης είναι χαμηλή, καθώς η αξιοποίηση της ευπάθειας είναι πολύπλοκη, όπως και η ροή και οι απαιτήσεις για την ενεργοποίησή της, λέει ο Ilgayev της Cycode. Επιπλέον, επηρεάζει έναν σχετικά μικρό αριθμό συστημάτων, σε σύγκριση με εκείνα που χρησιμοποιούν εκδόσεις του OpenSSL πριν από το 3.0.
…Αλλά να είστε επιμελής
Ταυτόχρονα, είναι σημαντικό να έχουμε κατά νου ότι τα τρωτά σημεία που είναι δύσκολο να εκμεταλλευτούν έχουν γίνει αντικείμενο εκμετάλλευσης στο παρελθόν, λέει ο Ilgayev, δείχνοντας μια εκμετάλλευση μηδενικού κλικ που ανέπτυξε η ομάδα NSO για μια ευπάθεια στο iOS πέρυσι.
"[Επίσης], όπως λέει η ομάδα OpenSSL, δεν υπάρχει τρόπος να γνωρίζουμε πώς κάθε συνδυασμός πλατφόρμας και μεταγλωττιστή έχει τακτοποιήσει τα buffer στη στοίβα, και επομένως η απομακρυσμένη εκτέλεση κώδικα μπορεί να είναι ακόμα δυνατή σε ορισμένες πλατφόρμες", προειδοποιεί.
Και πράγματι, ο Ellzey περιγράφει ένα σενάριο για το πώς οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν το CVE-2022-3602, το ελάττωμα που η ομάδα OpenSSL είχε αρχικά αξιολογήσει ως κρίσιμο.
"Ένας εισβολέας θα φιλοξενούσε έναν κακόβουλο διακομιστή και θα προσπαθούσε να πείσει τα θύματα να τον πιστοποιήσουν με μια εφαρμογή ευάλωτη στο OpenSSL v3.x, πιθανώς μέσω παραδοσιακών τακτικών ηλεκτρονικού "ψαρέματος"", λέει, αν και το πεδίο εφαρμογής είναι περιορισμένο λόγω του ότι η εκμετάλλευση είναι κατά κύριο λόγο πελάτη- πλευρά.
Τρωτά σημεία όπως αυτό τονίζουν τη σημασία της ύπαρξης α Λογισμικό λογαριασμού υλικών (SBOM) για κάθε δυαδικό που χρησιμοποιείται, σημειώνει ο Ilgayev. «Η εξέταση των διαχειριστών πακέτων δεν είναι αρκετή, καθώς αυτή η βιβλιοθήκη θα μπορούσε να συνδεθεί και να μεταγλωττιστεί σε διάφορες διαμορφώσεις που θα επηρεάσουν τη δυνατότητα εκμετάλλευσης», λέει.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
