Tietoturvaasiantuntijat kuvailivat kahta erittäin odotettua haavoittuvuutta, jotka OpenSSL-projektitiimi korjasi tiistaina ongelmiksi, jotka on ratkaistava nopeasti, mutta jotka eivät välttämättä ansaitse "pudota kaikki muu" -tyyppistä hätäapua.
Lähes kaikkialla käytetyn kryptografisen kirjaston version 3.0.7 julkaisu korjaa kaksi puskurin ylivuotohaavoittuvuutta, jotka ovat olemassa OpenSSL-versioissa 3.0.0–3.0.6.
Tietoturvaasiantuntijat olivat ennen julkistamista varoittaneet, että yksi ongelmista alun perin luonnehdittiin "kriittiseksi" koodin etäsuoritusongelma, voi aiheuttaa Heartbleed-tason, all-on-deck-ongelman. Onneksi näin ei näytä olevan – ja paljastaessaan virheen OpenSSL-projektitiimi sanoi päättäneensä alentaa uhka "korkeaksi" perustuu palautteeseen organisaatioilta, jotka olivat testanneet ja analysoineet virheen.
Puskurin ylivuoto
Ensimmäinen bugi (CVE-2022-3602). Mutta käy ilmi, että on olemassa lieventäviä olosuhteita: Ensinnäkin sitä on vaikea hyödyntää, kuten alla selitetään. Tämä ei myöskään vaikuta kaikkiin järjestelmiin.
Censysin vanhempi tietoturvatutkija Mark Ellzey sanoo, että tämä vaikuttaa tällä hetkellä vain selaimiin, jotka tukevat OpenSSL 3.0.0 - 3.0.6 -versioita, kuten Firefox ja Internet Explorer. Tämä ei vaikuta erityisesti Google Chromeen, joka on johtava Internet-selain.
"Vaikutuksen odotetaan olevan minimaalinen johtuen hyökkäyksen monimutkaisuudesta ja rajoituksista sen toteuttamisessa", hän sanoo. "Organisaatioiden tulee päivittää tietojenkalastelukoulutustaan ja pitää silmällä uhkien tiedustelulähteitä varmistaakseen, että ne ovat valmiita, jos ne joutuvat tällaisen hyökkäyksen kohteeksi."
Cycoden johtava tietoturvatutkija Alex Ilgayev totesi käynnistyksen yhteydessä, että virhettä ei voida hyödyntää tietyissä Linux-jakeluissa; ja monet nykyaikaiset käyttöjärjestelmäympäristöt toteuttavat pinon ylivuotosuojauksia, jotka vähentävät tällaisia uhkia joka tapauksessa, Ilgajev sanoo.
Toinen haavoittuvuus (CVE-2022-3786), joka paljastui alkuperäisen virheen korjausta kehitettäessä, voitiin käyttää palvelunestoehtojen (DoS) laukaisemiseen. OpenSSL-tiimi arvioi haavoittuvuuden erittäin vakavaksi, mutta sulki pois mahdollisuuden käyttää sitä RCE:n hyväksikäyttöön.
Molemmat haavoittuvuudet on sidottu toimintoon nimeltä punycode kansainvälistyneiden verkkotunnusten koodaamiseen.
"OpenSSL 3.0.0 - 3.0.6 käyttäjät ovat kehotetaan päivittämään versioon 3.0.7 mahdollisimman pian”, OpenSSL-tiimi sanoi blogissa, joka liittyy virheiden paljastamiseen ja salauskirjaston uuden version julkaisuun. "Jos hankit OpenSSL-kopiosi käyttöjärjestelmän toimittajaltasi tai muulta kolmannelta osapuolelta, sinun tulee hankkia päivitetty versio heiltä mahdollisimman pian."
Ei toinen Heartbleed
Virheen paljastaminen väistää - ainakin toistaiseksi - laaja huoli heräsi OpenSSL-tiimin viime viikolla antamaan ilmoitukseen silloisesta uhkaavasta virheen paljastamisesta. Ensimmäisen virheen kuvaus "kriittiseksi" oli saanut useita vertailuja vuoden 2014 "Heartbleed" -virheeseen, joka on ainoa OpenSSL-virhe, joka ansaitsi kriittisen luokituksen. Tämä virhe (CVE-2014-0160) vaikutti laajaan Internetiin, eikä sitä ole vieläkään käsitelty täysin monissa organisaatioissa.
"Heartbleed paljastui oletusarvoisesti kaikissa ohjelmistoissa, jotka käyttivät haavoittuvaa OpenSSL-versiota, ja hyökkääjät pystyivät helposti hyödyntämään sitä nähdäkseen salausavaimia ja salasanoja, jotka on tallennettu palvelimen muistiin", sanoo Jonathan Knudsen, Synopsys Cybersecurity Research Centerin globaalin tutkimuksen johtaja. . "Kaksi OpenSSL:ssä juuri raportoitua haavoittuvuutta ovat vakavia, mutta eivät yhtä suuria."
OpenSSL-virheitä on vaikea hyödyntää…
Hyödyntämään jompaakumpaa uutta puutetta, haavoittuvien palvelimien on pyydettävä asiakassertifikaatin todennusta, mikä ei ole normaalia, Knudsen sanoo. Ja haavoittuvien asiakkaiden pitäisi muodostaa yhteys haitalliseen palvelimeen, joka on yleinen ja puolustettavissa oleva hyökkäysvektori, hän sanoo.
"Kenenkään hiukset eivät saisi olla tulessa näiden kahden haavoittuvuuden takia, mutta ne ovat vakavia ja niitä tulee käsitellä sopivalla nopeudella ja huolella", hän huomauttaa.
SANS Internet Storm Center kuvaili blogikirjoituksessaan OpenSSL-päivitystä nimellä puskurin ylityksen korjaaminen varmenteen vahvistusprosessin aikana. Jotta hyväksikäyttö toimisi, varmenteen tulee sisältää haitallinen Punycode-koodattu nimi, ja haavoittuvuus laukeaisi vasta, kun varmenneketju on varmistettu.
"Hyökkääjän on ensin voitava saada haitallinen varmenne allekirjoitettua varmentajalla, johon asiakas luottaa", SANS ISC huomautti. "Tämä ei näytä olevan hyödynnettävissä palvelimia vastaan. Palvelimissa tämä voi olla hyödynnettävissä, jos palvelin pyytää varmennetta asiakkaalta."
Bottom line: Hyödyntämisen todennäköisyys on alhainen, koska haavoittuvuutta on monimutkainen hyödyntää, samoin kuin virtaus ja vaatimukset sen laukaisemiseksi, Cycoden Ilgayev sanoo. Lisäksi se vaikuttaa suhteellisen pieneen määrään järjestelmiä verrattuna niihin, jotka käyttävät OpenSSL:n 3.0:aa edeltäviä versioita.
…Mutta ole ahkera
Samalla on tärkeää pitää mielessä, että vaikeasti hyödynnettäviä haavoittuvuuksia on hyödynnetty aiemminkin, Ilgajev sanoo ja osoittaa nolla-napsautuksen hyväksikäyttö, jonka NSO Group on kehittänyt iOS:n haavoittuvuutta varten viime vuonna.
"[Myös], kuten OpenSSL-tiimi sanoo, "ei ole mitään keinoa tietää, kuinka jokainen alustan ja kääntäjän yhdistelmä on järjestänyt puskurit pinossa", ja siksi koodin etäsuoritus voi silti olla mahdollista joillakin alustoilla", hän varoittaa.
Ja todellakin, Ellzey hahmottelee yhden skenaarion siitä, kuinka hyökkääjät voisivat hyödyntää CVE-2022-3602:ta, virhettä, jonka OpenSSL-tiimi oli alun perin arvioinut kriittiseksi.
"Hyökkääjä isännöi haitallista palvelinta ja yrittää saada uhrit tunnistautumaan sovelluksella, joka on haavoittuvainen OpenSSL v3.x:lle, mahdollisesti perinteisten tietojenkalastelutaktiikkojen avulla", hän sanoo, vaikka laajuus on rajoitettu, koska hyväksikäyttö on pääasiassa asiakaskohtaista. puolella.
Tämän kaltaiset haavoittuvuudet korostavat a ohjelmistomateriaali (SBOM) jokaiselle käytetylle binäärille, Ilgajev huomauttaa. "Pakettien hallintaohjelmien katsominen ei riitä, koska tämä kirjasto voidaan linkittää ja kääntää eri kokoonpanoissa, jotka vaikuttavat hyödynnettävyyteen", hän sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
