सुरक्षा विशेषज्ञों ने दो उच्च प्रत्याशित कमजोरियों का वर्णन किया है, जिन्हें ओपनएसएसएल प्रोजेक्ट टीम ने मंगलवार को उन मुद्दों के रूप में पैच किया, जिन्हें जल्दी से संबोधित करने की आवश्यकता है, लेकिन जरूरी नहीं कि वे बाकी सब कुछ छोड़कर आपातकालीन प्रतिक्रिया के योग्य हों।
लगभग सर्वव्यापी उपयोग की जाने वाली क्रिप्टोग्राफ़िक लाइब्रेरी के संस्करण 3.0.7 की रिलीज़ दो बफर ओवरफ्लो कमजोरियों को संबोधित करती है, जो ओपनएसएसएल संस्करण 3.0.0 से 3.0.6 में मौजूद हैं।
खुलासे से पहले, सुरक्षा विशेषज्ञों ने चेतावनी दी थी कि मुद्दों में से एक, मूल रूप से "महत्वपूर्ण" के रूप में जाना जाता है रिमोट कोड-निष्पादन समस्या, हार्टब्लीड-स्तर, ऑल-हैंड-ऑन-डेक समस्या प्रस्तुत कर सकती है। शुक्र है, ऐसा प्रतीत नहीं होता - और दोष का खुलासा करते हुए, ओपनएसएसएल परियोजना टीम ने कहा कि उसने निर्णय लिया है खतरे को "उच्च" पर डाउनग्रेड करें उन संगठनों के फीडबैक के आधार पर जिन्होंने बग का परीक्षण और विश्लेषण किया था।
बफर ओवरफ्लो की एक जोड़ी
पहला बग (CVE-2022-3602) वास्तव में - परिस्थितियों के एक विशिष्ट सेट के तहत - आरसीई को सक्षम कर सकता है, जिससे मूल रूप से कुछ सुरक्षा विशेषज्ञों को चिंता हुई कि दोष का उद्योग-व्यापी असर हो सकता है। लेकिन यह पता चला है कि कम करने वाली परिस्थितियां हैं: एक के लिए, इसका फायदा उठाना मुश्किल है, जैसा कि नीचे बताया गया है। साथ ही, सभी प्रणालियाँ प्रभावित नहीं होती हैं।
विशेष रूप से, केवल ब्राउज़र जो ओपनएसएसएल 3.0.0 से 3.0.6 तक का समर्थन करते हैं, जैसे फ़ायरफ़ॉक्स और इंटरनेट एक्सप्लोरर, इस समय प्रभावित होते हैं, सेन्सिस के वरिष्ठ सुरक्षा शोधकर्ता मार्क एल्ज़ी के अनुसार; विशेष रूप से अप्रभावित Google Chrome है, जो अग्रणी इंटरनेट ब्राउज़र है।
वे कहते हैं, "हमले की जटिलता और इसे कैसे अंजाम दिया जा सकता है इसकी सीमाओं के कारण प्रभाव न्यूनतम होने की उम्मीद है।" "संगठनों को अपने फ़िशिंग प्रशिक्षण पर ध्यान देना चाहिए और ख़तरे वाले ख़ुफ़िया स्रोतों पर नज़र रखनी चाहिए ताकि यह सुनिश्चित किया जा सके कि यदि उन्हें इस तरह के किसी हमले द्वारा लक्षित किया जाता है तो वे तैयार रहें।"
बूट करने के लिए, साइकोड के प्रमुख सुरक्षा शोधकर्ता एलेक्स इल्गायेव ने कहा कि कुछ लिनक्स वितरणों पर दोष का फायदा नहीं उठाया जा सकता है; और, कई आधुनिक ओएस प्लेटफ़ॉर्म किसी भी घटना में इस तरह के खतरों को कम करने के लिए स्टैक ओवरफ़्लो सुरक्षा लागू करते हैं, इल्गायेव कहते हैं।
दूसरी भेद्यता (CVE-2022-3786), जिसे मूल दोष के समाधान के विकास के दौरान उजागर किया गया था, का उपयोग सेवा से इनकार (डीओएस) की स्थिति को ट्रिगर करने के लिए किया जा सकता है। ओपनएसएसएल टीम ने भेद्यता का मूल्यांकन उच्च गंभीरता के रूप में किया, लेकिन आरसीई शोषण के लिए इसका उपयोग किए जाने की संभावना से इनकार किया।
दोनों कमजोरियाँ नामक कार्यक्षमता से जुड़ी हैं पनीकोड अंतर्राष्ट्रीयकृत डोमेन नामों को एन्कोड करने के लिए।
“ओपनएसएसएल 3.0.0 – 3.0.6 के उपयोगकर्ता हैं यथाशीघ्र 3.0.7 में अपग्रेड करने के लिए प्रोत्साहित किया गयाओपनएसएसएल टीम ने बग प्रकटीकरण और क्रिप्टोग्राफ़िक लाइब्रेरी के नए संस्करण की रिलीज़ के साथ एक ब्लॉग में कहा। "यदि आप अपने ऑपरेटिंग सिस्टम विक्रेता या अन्य तीसरे पक्ष से ओपनएसएसएल की प्रति प्राप्त करते हैं तो आपको जल्द से जल्द उनसे एक अद्यतन संस्करण प्राप्त करना चाहिए।"
एक और हृदयविदारक नहीं
बग प्रकटीकरण निश्चित रूप से कम हो जाएगा - फिलहाल, कम से कम - व्यापक चिंता फैल गई ओपनएसएसएल टीम की पिछले सप्ताह की आसन्न बग प्रकटीकरण अधिसूचना द्वारा। विशेष रूप से पहली खामी के "गंभीर" होने के वर्णन ने 2014 के "हार्टब्लीड" बग से कई तुलनाओं को प्रेरित किया था - जो कि महत्वपूर्ण रेटिंग अर्जित करने वाला ओपनएसएसएल में एकमात्र अन्य बग था। उस बग (CVE-2014-0160) ने इंटरनेट के व्यापक क्षेत्र को प्रभावित किया और अब भी कई संगठनों में इसका पूरी तरह समाधान नहीं किया जा सका है।
सिनोप्सिस साइबर सिक्योरिटी रिसर्च सेंटर में वैश्विक शोध के प्रमुख जोनाथन नुडसेन कहते हैं, "ओपनएसएसएल के कमजोर संस्करण का उपयोग करने वाले किसी भी सॉफ़्टवेयर पर हार्टब्लीड डिफ़ॉल्ट रूप से उजागर हुआ था, और हमलावरों द्वारा सर्वर मेमोरी में संग्रहीत क्रिप्टोग्राफ़िक कुंजी और पासवर्ड देखने के लिए इसका बहुत आसानी से शोषण किया जा सकता था।" . "ओपनएसएसएल में अभी रिपोर्ट की गई दो कमजोरियां गंभीर हैं लेकिन समान परिमाण की नहीं हैं।"
ओपनएसएसएल बग्स का फायदा उठाना मुश्किल है...
नुडसन का कहना है कि किसी भी नई खामी का फायदा उठाने के लिए, कमजोर सर्वरों को क्लाइंट प्रमाणपत्र प्रमाणीकरण का अनुरोध करने की आवश्यकता होगी, जो कि आदर्श नहीं है। और कमजोर ग्राहकों को एक दुर्भावनापूर्ण सर्वर से कनेक्ट करने की आवश्यकता होगी, जो एक सामान्य और रक्षात्मक हमला वेक्टर है, वह कहते हैं।
उन्होंने कहा, "इन दो कमजोरियों के बारे में किसी को भी संदेह नहीं होना चाहिए, लेकिन वे गंभीर हैं और उन्हें उचित गति और परिश्रम के साथ संभाला जाना चाहिए।"
इस बीच, एक ब्लॉग पोस्ट में, SANS इंटरनेट स्टॉर्म सेंटर ने ओपनएसएसएल अपडेट का वर्णन इस प्रकार किया प्रमाणपत्र सत्यापन प्रक्रिया के दौरान बफर ओवररन को ठीक करना. किसी शोषण के काम करने के लिए, प्रमाणपत्र में एक दुर्भावनापूर्ण पुनीकोड-एन्कोडेड नाम होना आवश्यक होगा, और प्रमाणपत्र श्रृंखला सत्यापित होने के बाद ही भेद्यता ट्रिगर होगी।
SANS ISC ने कहा, "एक हमलावर को सबसे पहले उस प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित एक दुर्भावनापूर्ण प्रमाणपत्र प्राप्त करने में सक्षम होना चाहिए जिस पर ग्राहक भरोसा करता है।" “ऐसा प्रतीत होता है कि यह सर्वरों के विरुद्ध शोषण योग्य नहीं है। सर्वर के लिए, यदि सर्वर क्लाइंट से प्रमाणपत्र का अनुरोध करता है तो यह शोषण योग्य हो सकता है।
निचली पंक्ति: शोषण की संभावना कम है क्योंकि भेद्यता का शोषण करना जटिल है, साथ ही इसे ट्रिगर करने के लिए प्रवाह और आवश्यकताएं भी हैं, साइकोड के इल्गायेव कहते हैं। साथ ही, ओपनएसएसएल के पूर्व-3.0 संस्करणों का उपयोग करने वालों की तुलना में यह अपेक्षाकृत कम संख्या में सिस्टम को प्रभावित करता है।
...लेकिन मेहनती बनो
साथ ही, यह ध्यान में रखना भी महत्वपूर्ण है कि अतीत में कठिन शोषण वाली कमजोरियों का शोषण किया गया है, इल्गायेव कहते हैं, एक शून्य-क्लिक शोषण जिसे NSO समूह ने iOS में भेद्यता के लिए विकसित किया है पिछले साल।
"[साथ ही], जैसा कि ओपनएसएसएल टीम कहती है, 'यह जानने का कोई तरीका नहीं है कि प्रत्येक प्लेटफ़ॉर्म और कंपाइलर संयोजन ने स्टैक पर बफ़र्स को कैसे व्यवस्थित किया है,' और इसलिए कुछ प्लेटफ़ॉर्म पर रिमोट कोड निष्पादन अभी भी संभव हो सकता है," वह चेतावनी देते हैं।
और वास्तव में, एल्ज़ी ने एक परिदृश्य की रूपरेखा तैयार की है कि कैसे हमलावर सीवीई-2022-3602 का फायदा उठा सकते हैं, ओपनएसएसएल टीम ने मूल रूप से जिस दोष का मूल्यांकन किया था वह महत्वपूर्ण था।
"एक हमलावर एक दुर्भावनापूर्ण सर्वर की मेजबानी करेगा और पीड़ितों को ओपनएसएसएल v3.x के लिए कमजोर एप्लिकेशन के साथ प्रमाणित करने का प्रयास करेगा, संभवतः पारंपरिक फ़िशिंग रणनीति के माध्यम से," वे कहते हैं, हालांकि शोषण मुख्य रूप से क्लाइंट होने के कारण दायरा सीमित है- ओर।
इस तरह की कमजोरियाँ एक होने के महत्व को उजागर करती हैं सामग्री का सॉफ्टवेयर बिल (एसबीओएम) प्रत्येक बाइनरी के लिए उपयोग किया जाता है, इल्गायेव नोट करता है। "पैकेज प्रबंधकों को देखना पर्याप्त नहीं है क्योंकि इस लाइब्रेरी को विभिन्न कॉन्फ़िगरेशन में जोड़ा और संकलित किया जा सकता है जो शोषण क्षमता को प्रभावित करेगा," वे कहते हैं।
