מומחי אבטחה תיארו שתי נקודות תורפה שצוות OpenSSL Project תיקן ביום שלישי כבעיות שיש לטפל בהן במהירות, אך לא בהכרח ראויות להורדת תגובת חירום מסוג כל דבר אחר.
השחרור של גרסה 3.0.7 של ספריית ההצפנה שנמצאת כמעט בכל מקום מטפלת בשתי פגיעויות של הצפת מאגר, הקיימות בגרסאות OpenSSL 3.0.0 עד 3.0.6.
לקראת החשיפה הזהירו מומחי אבטחה כי אחת הבעיות, אופיינה במקור כ"קריטית" בעיית ביצוע קוד מרחוק, עלולה להוות בעיה ברמת Heartbleed, של כל הידיים על הסיפון. למרבה המזל, נראה שזה לא המקרה - ובחשיפת הפגם, צוות פרויקט OpenSSL אמר שהחליט להוריד את האיום ל"גבוה" מבוסס על משוב מארגונים שבדקו וניתחו את הבאג.
זוג מאגר עולה על גדותיו
הבאג הראשון (CVE-2022-3602) אכן יכול - תחת מערכת ספציפית של נסיבות - לאפשר את RCE, מה שבמקור הוביל כמה מומחי אבטחה לדאוג שהפגם עשוי להשפיע על התעשייה. אבל מסתבר שיש נסיבות מקלות: ראשית, קשה לנצל אותה, כפי שיוסבר להלן. כמו כן, לא כל המערכות מושפעות.
באופן ספציפי, רק דפדפנים התומכים ב-OpenSSL 3.0.0 עד 3.0.6, כגון Firefox ו-Internet Explorer, מושפעים בשלב זה, לדברי מארק אלזי, חוקר אבטחה בכיר ב-Censys; לא מושפע במיוחד הוא Google Chrome, שהוא דפדפן האינטרנט המוביל.
"ההשפעה צפויה להיות מינימלית בשל מורכבות התקיפה והמגבלות כיצד ניתן לבצע אותה", הוא אומר. "ארגונים צריכים להתרענן באימוני הדיוג שלהם ולפקוח עין על מקורות מודיעין איומים כדי להבטיח שהם מוכנים אם הם ממוקדים להתקפה כמו זו."
כדי לאתחל, אלכס אילגייב, חוקר אבטחה מוביל ב- Cycode, ציין שלא ניתן לנצל את הפגם בהפצות לינוקס מסוימות; וכן, פלטפורמות רבות של מערכת הפעלה מודרניות מיישמות הגנות על הצפת מחסנית כדי לצמצם איומים כמו אלה בכל מקרה, אומר אילגייב.
הפגיעות השנייה (CVE-2022-3786), אשר נחשף בזמן שפיתח תיקון לפגם המקורי, יכול לשמש כדי להפעיל תנאי מניעת שירות (DoS). צוות OpenSSL העריך את הפגיעות כבעלת חומרה גבוהה אך שלל את האפשרות להשתמש בה לניצול RCE.
שתי הפגיעויות קשורות לפונקציונליות הנקראת Punycode לקידוד שמות מתחם בינלאומיים.
"משתמשי OpenSSL 3.0.0 - 3.0.6 הם מומלץ לשדרג ל-3.0.7 בהקדם האפשרי", אמר צוות OpenSSL בבלוג שליווה את חשיפת הבאגים ושחרור הגרסה החדשה של ספריית ההצפנה. "אם אתה משיג את העותק שלך של OpenSSL מספק מערכת ההפעלה שלך או צד שלישי אחר, עליך לבקש לקבל מהם גרסה מעודכנת בהקדם האפשרי."
לא עוד דימום לב
חשיפת הבאגים בוודאי תקטין - כרגע, לפחות - החשש הנרחב עורר על ידי הודעת צוות OpenSSL בשבוע שעבר על חשיפת הבאגים הממשמשת ובאה. התיאור של הפגם הראשון כ"קריטי", במיוחד, גרם למספר השוואות לבאג "Heartbleed" של 2014 - הבאג הנוסף היחיד ב-OpenSSL שזכה לדירוג קריטי. הבאג הזה (CVE-2014-0160) השפיע על חלק גדול מהאינטרנט, ואפילו עכשיו לא קיבל מענה מלא בארגונים רבים.
"Heartbleed נחשפה כברירת מחדל בכל תוכנה שהשתמשה בגרסה פגיעה של OpenSSL, והיא ניתנת לניצול בקלות רבה על ידי תוקפים כדי לראות מפתחות הצפנה וסיסמאות המאוחסנים בזיכרון השרת", אומר ג'ונתן קנודסן, ראש מחקר עולמי במרכז מחקר אבטחת הסייבר של Synopsys. . "שתי הפגיעויות שדווחו זה עתה ב-OpenSSL הן חמורות אך אינן באותו גודל."
קשה לנצל באגים של OpenSSL...
כדי לנצל אחד מהפגמים החדשים, שרתים פגיעים יצטרכו לבקש אימות אישור לקוח, וזה לא הנורמה, אומר קנודסן. ולקוחות פגיעים יצטרכו להתחבר לשרת זדוני, שהוא וקטור התקפה נפוץ וניתן להגנה, הוא אומר.
"אף אחד לא צריך לעלות באש על שתי הפגיעות הללו, אבל הן רציניות ויש לטפל בהן במהירות ובחריצות מתאימה", הוא מציין.
בפוסט בבלוג, SANS Internet Storm Center תיאר בינתיים את עדכון OpenSSL כ תיקון חפיפת מאגר במהלך תהליך אימות האישור. כדי שניצול יעבוד, האישור יצטרך להכיל שם זדוני המקודד Punycode, והפגיעות תופעל רק לאחר אימות שרשרת האישורים.
"קודם כל תוקף צריך להיות מסוגל לקבל אישור זדוני חתום על ידי רשות אישורים שהלקוח סומך עליה", ציינה SANS ISC. "נראה שזה לא ניתן לניצול מול שרתים. עבור שרתים, זה עשוי להיות בר ניצול אם השרת מבקש אישור מהלקוח."
בשורה התחתונה: הסבירות לניצול נמוכה מכיוון שהפגיעות מורכבת לניצול, וכך גם הזרימה והדרישות להפעלתה, אומר Ilgayev של Cycode. בנוסף, היא משפיעה על מספר קטן יחסית של מערכות, בהשוואה לאלו המשתמשות בגרסאות לפני 3.0 של OpenSSL.
...אבל תהיי חרוצה
יחד עם זאת, חשוב לזכור שבעבר נוצלו פגיעות שקשה לנצל, אומר אילגייב ומצביע על ניצול אפס קליק שקבוצת NSO פיתחה עבור פגיעות ב-iOS שנה שעברה.
"[כמו כן], כמו שצוות OpenSSL אומר, אין שום דרך לדעת איך כל שילוב של פלטפורמה וקומפיילר סידרה את המאגרים בערימה, ולכן ייתכן שביצוע קוד מרחוק עדיין יהיה אפשרי בפלטפורמות מסוימות", הוא מזהיר.
ואכן, Elzey מתאר תרחיש אחד כיצד תוקפים יכולים לנצל את CVE-2022-3602, הפגם שצוות OpenSSL העריך במקור כקריטי.
"תוקף יארח שרת זדוני וינסה לגרום לקורבנות לאמת אליו באמצעות אפליקציה שפגיעה ל-OpenSSL v3.x, אולי באמצעות טקטיקות פישינג מסורתיות", הוא אומר, למרות שההיקף מוגבל בגלל שהניצול הוא בעיקר לקוח- צַד.
נקודות תורפה כגון זו מדגישות את החשיבות של א שטר חומרים לתוכנה (SBOM) עבור כל בינארי בשימוש, מציין אילגייב. "הסתכלות על מנהלי החבילות אינה מספיקה מכיוון שניתן היה לקשר ולקומפול את הספרייה הזו בתצורות שונות שישפיעו על יכולת הניצול", הוא אומר.
