תיקון OpenSSL יצאו - באג קריטי שודרג לאחור ל-HIGH, אבל תיקון בכל מקרה!

נתחיל בדברים החשובים: תיקוני הבאגים של OpenSSL שהוכרזו בשבוע שעבר הם בחוץ.

OpenSSL 1.1.1 עובר אל גרסה 1.1.1s, ומתקן באג אחד רשום הקשור לאבטחה, אך לבאג זה אין דירוג אבטחה או מספר CVE רשמי.

אנו ממליצים בחום לעדכן, אך העדכון הקריטי שתראה בתקשורת אבטחת הסייבר אינו חל על גרסה זו.

OpenSSL 3.0 עובר אל גרסה 3.0.7, ומתקן לא אחד אלא שני באגי אבטחה עם מספרי CVE שמיועדים רשמיים בדרגת חומרה גבוהה.

אנו ממליצים בחום לעדכן, בדחיפות ככל שתוכל לגייס, אך התיקון הקריטי שכולם דיברו עליו שודרג כעת לדרגת חומרה גבוהה.

זה משקף את הדעה של צוות OpenSSL:

הודעות מוקדמות של CVE-2022-3602 תיאר את הנושא הזה כקריטי. ניתוח נוסף המבוסס על כמה מהגורמים המקלים המתוארים [בהערות השחרור] הוביל את הדירוג לאחור ל-HIGH. משתמשים עדיין מוזמנים לשדרג לגרסה חדשה בהקדם האפשרי.

למרבה האירוניה, באג שני ודומה, מדובב CVE-2022-3786, התגלה בזמן הכנת התיקון עבור CVE-2022-3602.

הבאג המקורי מאפשר רק לתוקף להשחית ארבעה בתים בערימה, מה שמגביל את יכולת הניצול של החור, בעוד הבאג השני מאפשר כמות בלתי מוגבלת של הצפת מחסנית, אך ככל הנראה רק של התו "נקודה" (ASCII 46, או 0x2E ) חזר על עצמו שוב ושוב.

שתי הפגיעויות נחשפות במהלך אימות אישור TLS, כאשר לקוח או שרת ממולכדים "מזדהים" את עצמו לשרת או ללקוח בקצה השני עם אישור TLS שגוי במתכוון.

למרות שסוגים אלה של הצפת מחסנית (אחד בגודל מוגבל והשני בעל ערכי נתונים מוגבלים) נשמעים כאילו יהיה קשה לנצל אותם לביצוע קוד (במיוחד בתוכנת 64 סיביות, שבה ארבעה בתים הם רק חצי מכתובת זיכרון) …

...כמעט בטוח שהם ניתנים לניצול בקלות עבור התקפות DoS (מניעת שירות), שבהן השולח של אישור סורר עלול לקרוס את מקבל האישור הזה כרצונו.

למרבה המזל, רוב חילופי ה-TLS כוללים לקוחות המאמתים אישורי שרת, ולא להיפך.

רוב שרתי האינטרנט, למשל, אינם דורשים מהמבקרים להזדהות עם תעודה לפני שהם מאפשרים להם לקרוא את האתר, כך ש"כיוון ההתרסקות" של כל ניצול עבודה צפוי להיות שרתים סוררים שקורסים מבקרים אומללים, מה שנחשב בדרך כלל הרבה פחות חמור מאשר שרתים קורסים בכל פעם שגולש אליהם על ידי מבקר נוכל יחיד.

עם זאת, כל טכניקה שבאמצעותה שרת אינטרנט או אימייל פרוץ יכול לקרוס ללא היסוד דפדפן מבקר או אפליקציית דוא"ל חייבת להיחשב מסוכנת, לא כל שכן ניסיון של תוכנת הלקוח לנסות מחדש את החיבור יגרום לקריסת האפליקציה שוב ושוב ושוב. שוב.

לכן אתה בהחלט רוצה תיקון נגד זה בהקדם האפשרי.

מה לעשות?

כפי שצוין לעיל, אתה צריך OpenSSL 1.1.1s or פתח את SSL 3.0.7 להחליף כל גרסה שיש לך כרגע.

OpenSSL 1.1.1s מקבל תיקון אבטחה המתואר כתיקון "רגרסיה [באג ישן שהופיע שוב] שהוצגה ב-OpenSSL 1.1.1r לא מרעננת את נתוני האישור שיש לחתום לפני החתימה על האישור", לבאג הזה אין חומרה או CVE שהוקצה לו...

...אבל אל תתנו לזה לדחות את העדכון בהקדם האפשרי.

פתח את SSL 3.0.7 מקבל את שני התיקונים בדרגת חומרת CVE הרשומים לעיל, עם מספרי CVE, ולמרות שהם לא נשמעים כל כך מפחידים עכשיו כמו בחגיגת החדשות שקדמה לשחרור זה, אתה צריך להניח ש:

• תוקפים רבים יבינו במהירות כיצד לנצל את החור הזה למטרות DoS. זה עלול לגרום לשיבוש זרימת העבודה במקרה הטוב, ולבעיות אבטחת סייבר במקרה הרע, במיוחד אם ניתן לנצל את הבאג כדי להאט או לשבור תהליכים אוטומטיים חשובים (כגון עדכונים) במערכת ה-IT שלך.
• חלק מהתוקפים עשויים להיות מסוגלים לסכסך באגים אלה לצורך ביצוע קוד מרחוק. זה ייתן לפושעים סיכוי טוב להשתמש בשרתי אינטרנט ממולכדים כדי לשנות את תוכנת הלקוח המשמשת להורדות מאובטחות בעסק שלך.
• אם אכן יימצא הוכחת מושג (PoC), הוא ימשוך עניין עצום. כפי שתזכרו מ-Log4Shell, ברגע שפורסמו PoCs, אלפי "חוקרים" שהוכרזו על עצמם קפצו על עגלת הסריקה-את-האינטרנט-ותתקוף תוך כדי תנועה במסווה של "לעזור" לאנשים למצוא בעיות ברשתות שלהם.

שימו לב ש-OpenSSL 1.0.2 עדיין נתמך ומעודכן, אך באופן פרטי בלבד, עבור לקוחות ששילמו חוזים עם צוות OpenSSL, וזו הסיבה שאין לנו כל מידע לחשוף עליו כאן, מלבד לאשר שה-CVE באגים ממוספרים ב-OpenSSL 3.0 אינם חלים על סדרת OpenSSL 1.0.2.

אתה יכול קרא עוד, וקבל את שלך עדכוני OpenSSL, מ ה אתר OpenSSL.

אה, ואם PoCs אכן מתחילים להופיע באינטרנט, בבקשה אל תהיה חכם ותתחיל "לנסות" את PoCs אלה מול מחשבים של אנשים אחרים מתוך הרושם שאתה "עוזר" בכל סוג של "מחקר".

---