セキュリティの専門家は、OpenSSL プロジェクト チームが火曜日にパッチを適用した、非常に予想される XNUMX つの脆弱性について、迅速に対処する必要があるが、必ずしもすべてを落とすタイプの緊急対応に値するとは限らないと説明しました。
ほぼどこでも使用されている暗号化ライブラリのバージョン 3.0.7 のリリースでは、OpenSSL バージョン 3.0.0 から 3.0.6 に存在する XNUMX つのバッファ オーバーフローの脆弱性に対処しています。
開示に至るまで、セキュリティの専門家は、問題の XNUMX つであると警告していました。 もともと「クリティカル」と特徴づけられた リモート コード実行の問題は、Heartbleed レベルのオールハンズオン デッキの問題を引き起こす可能性があります。 ありがたいことに、そうではないようです — そして、欠陥を開示する際に、OpenSSL プロジェクト チームは、 脅威を「高」に格下げ バグをテストおよび分析した組織からのフィードバックに基づいています。
バッファ オーバーフローのペア
最初のバグ (CVE-2022-3602) 確かに、特定の状況下で RCE を有効にする可能性があります。これにより、当初、一部のセキュリティ専門家は、この欠陥が業界全体に影響を与える可能性があると懸念していました。 しかし、状況を緩和する状況があることが判明しました。その XNUMX つは、以下で説明するように、悪用するのが難しいことです。 また、すべてのシステムが影響を受けるわけではありません。
具体的には、Firefox や Internet Explorer など、OpenSSL 3.0.0 から 3.0.6 をサポートするブラウザのみが現時点で影響を受けると、Censys の上級セキュリティ研究者である Mark Elllzey 氏は述べています。 特に影響を受けないのは、主要なインターネット ブラウザである Google Chrome です。
「攻撃の複雑さと実行方法の制限により、影響は最小限に抑えられると予想されます」と彼は言います。 「組織は、フィッシング トレーニングをブラッシュアップし、脅威インテリジェンス ソースに目を光らせて、このような攻撃の標的になった場合に備える必要があります。」
おまけに、Cycode の主任セキュリティ研究者である Alex Ilgayev 氏は、特定の Linux ディストリビューションではこの脆弱性を悪用できないと述べています。 また、最新の OS プラットフォームの多くは、いずれにしてもこのような脅威を軽減するためにスタック オーバーフロー保護を実装しています、と Ilgayev 氏は言います。
XNUMX つ目の脆弱性 (CVE-2022-3786) は、元の欠陥の修正が開発されている間に発見され、サービス拒否 (DoS) 状態を引き起こすために使用される可能性がありました。 OpenSSL チームは、この脆弱性を深刻度が高いと評価しましたが、RCE の悪用に使用される可能性を除外しました。
両方の脆弱性は、と呼ばれる機能に関連付けられています。 プニコード 国際化ドメイン名のエンコード用。
「OpenSSL 3.0.0 ~ 3.0.6 のユーザーは、 できるだけ早く 3.0.7 にアップグレードすることをお勧めします」と OpenSSL チームは、バグの開示と暗号化ライブラリの新しいバージョンのリリースに伴うブログで述べています。 「オペレーティング システム ベンダーまたはその他のサード パーティから OpenSSL のコピーを入手した場合は、できるだけ早く更新版を入手する必要があります。」
ノット・アナザー・ハートブリード
バグの開示は確実に抑制されます — 少なくとも今のところ — 広く懸念が広がった 差し迫ったバグ開示の先週の OpenSSL チームの通知によって。 特に、最初の欠陥が「重大」であると説明されたことで、2014 年の「Heartbleed」バグといくつかの比較が行われました。このバグは OpenSSL で唯一、重大と評価されたバグです。 そのバグ (CVE-2014-0160) はインターネットの広い範囲に影響を与え、現在でも多くの組織で完全に対処されていません。
Synopsys Cybersecurity Research Center のグローバル リサーチ責任者である Jonathan Knudsen は、次のように述べています。 . 「たった今報告された OpenSSL の XNUMX つの脆弱性は深刻ですが、同じ程度ではありません。」
OpenSSL のバグは悪用されにくい…
新しい欠陥のいずれかを悪用するには、脆弱なサーバーがクライアント証明書認証を要求する必要がありますが、これは標準ではありません、と Knudsen 氏は言います。 また、脆弱なクライアントは悪意のあるサーバーに接続する必要がありますが、これは一般的で防御可能な攻撃ベクトルです.
「これらの XNUMX つの脆弱性について、だれも焦る必要はありませんが、深刻であり、適切な速度と勤勉さで対処する必要があります」と彼は指摘します。
一方、SANS Internet Storm Center はブログ投稿で、OpenSSL の更新について次のように説明しています。 証明書検証プロセス中のバッファ オーバーランの修正. エクスプロイトが機能するには、証明書に悪意のある Punycode でエンコードされた名前が含まれている必要があり、証明書チェーンが検証された後にのみ脆弱性がトリガーされます。
「攻撃者はまず、クライアントが信頼する認証局によって署名された悪意のある証明書を取得できる必要があります」と SANS ISC は指摘しています。 「これはサーバーに対して悪用できるようには見えません。 サーバーの場合、サーバーがクライアントに証明書を要求すると、これが悪用される可能性があります。」
結論: 脆弱性は悪用が複雑であり、それをトリガーするためのフローと要件も同様であるため、悪用される可能性は低いと Cycode の Ilgayev 氏は述べています。 さらに、OpenSSL の 3.0 より前のバージョンを使用しているシステムと比較して、比較的少数のシステムに影響を与えます。
…しかし、勤勉に
同時に、悪用が困難な脆弱性が過去に悪用されたことを念頭に置くことが重要である、と Ilgayev 氏は指摘し、 NSO グループが iOS の脆弱性のために開発したゼロクリック エクスプロイト 昨年。
「[また]、OpenSSL チームが言うように、『すべてのプラットフォームとコンパイラの組み合わせがスタック上のバッファをどのように配置したかを知る方法はない』ため、一部のプラットフォームではリモートでコードを実行できる可能性があります」と彼は警告します。
実際、Ellzey は、攻撃者が CVE-2022-3602 を悪用する方法について XNUMX つのシナリオを概説しています。これは、OpenSSL チームが最初に重大と評価した欠陥です。
「攻撃者は、悪意のあるサーバーをホストし、OpenSSL v3.x に対して脆弱なアプリケーションを使用して、被害者に認証を取得させようとします。これは、従来のフィッシング戦術を介して行われる可能性があります」と彼は言います。側。
このような脆弱性は、 ソフトウェア部品表 (SBOM) 使用されるすべてのバイナリに対して、Ilgayev は指摘します。 「このライブラリは、悪用可能性に影響を与えるさまざまな構成でリンクおよびコンパイルされる可能性があるため、パッケージ マネージャーを見るだけでは十分ではありません」と彼は言います。
