보안 전문가들은 OpenSSL 프로젝트 팀이 화요일에 신속하게 해결해야 하는 문제로 패치한 두 가지 매우 예상되는 취약점에 대해 설명했지만 반드시 다른 모든 유형의 비상 대응을 할 필요는 없습니다.
거의 보편적으로 사용되는 암호화 라이브러리의 버전 3.0.7 릴리스는 OpenSSL 버전 3.0.0에서 3.0.6에 존재하는 두 가지 버퍼 오버플로우 취약점을 해결합니다.
공개에 앞서 보안 전문가들은 문제 중 하나가 원래는 "비판적"으로 특성화되었습니다. 원격 코드 실행 문제로 인해 Heartbleed 수준의 전체 인력 문제가 발생할 수 있습니다. 고맙게도 그렇지 않은 것 같습니다. 결함을 공개하면서 OpenSSL 프로젝트 팀은 다음과 같이 결정했다고 말했습니다. 위협 수준을 '높음'으로 낮춤 버그를 테스트하고 분석한 조직의 피드백을 기반으로 합니다.
한 쌍의 버퍼 오버플로
첫 번째 버그(CVE-2022-3602)는 실제로 특정 상황에서 RCE를 활성화할 수 있습니다. 원래 일부 보안 전문가는 이 결함이 업계 전반에 영향을 미칠 수 있다고 우려했습니다. 그러나 완화할 수 있는 상황이 있음이 밝혀졌습니다. 하나는 아래에 설명된 것처럼 악용하기 어렵습니다. 또한 모든 시스템이 영향을 받는 것은 아닙니다.
특히 Censys의 수석 보안 연구원인 Mark Ellzey에 따르면 현재로서는 Firefox 및 Internet Explorer와 같이 OpenSSL 3.0.0에서 3.0.6을 지원하는 브라우저만 영향을 받습니다. 특히 주요 인터넷 브라우저인 Google 크롬은 영향을 받지 않습니다.
"공격의 복잡성과 실행 방법의 한계로 인해 영향이 최소화될 것으로 예상됩니다."라고 그는 말합니다. "조직은 피싱 교육을 강화하고 위협 인텔리전스 소스를 주시하여 이와 같은 공격의 대상이 될 경우 대비해야 합니다."
우선 Cycode의 수석 보안 연구원인 Alex Ilgayev는 이 결함이 특정 Linux 배포판에서 악용될 수 없다고 언급했습니다. Ilgayev는 많은 최신 OS 플랫폼이 스택 오버플로 보호를 구현하여 어떤 경우에도 이와 같은 위협을 완화한다고 말합니다.
두 번째 취약점(CVE-2022-3786)는 원래 결함에 대한 수정 프로그램을 개발하는 동안 발견되어 서비스 거부(DoS) 조건을 트리거하는 데 사용될 수 있습니다. OpenSSL 팀은 이 취약점의 심각도가 높은 것으로 평가했지만 RCE 악용에 사용될 가능성은 배제했습니다.
두 취약점 모두 다음과 같은 기능에 연결되어 있습니다. 퓨니 코드 국제화된 도메인 이름을 인코딩하기 위한 것입니다.
“OpenSSL 3.0.0 – 3.0.6 사용자는 가능한 한 빨리 3.0.7로 업그레이드하도록 권장,” OpenSSL 팀은 버그 공개 및 새 버전의 암호화 라이브러리 릴리스와 함께 블로그에서 말했습니다. "운영 체제 공급업체나 기타 제XNUMX자로부터 OpenSSL 사본을 얻은 경우 가능한 한 빨리 그들로부터 업데이트된 버전을 구해야 합니다."
또 다른 Heartbleed가 아닙니다.
버그 공개는 확실히 억제될 것입니다. 적어도 당분간은 — 광범위한 우려가 촉발 당시 임박한 버그 공개에 대한 지난 주 OpenSSL 팀의 알림에 의해. 특히 첫 번째 결함이 "치명적"이라는 설명은 2014년의 "Heartbleed" 버그(OpenSSL에서 치명적 등급을 받은 유일한 다른 버그)와 몇 가지 비교를 촉발했습니다. 이 버그(CVE-2014-0160)는 광범위한 인터넷에 영향을 미쳤으며 지금도 많은 조직에서 완전히 해결되지 않았습니다.
Synopsys Cybersecurity Research Center의 글로벌 연구 책임자인 Jonathan Knudsen은 "Heartbleed는 취약한 버전의 OpenSSL을 사용하는 모든 소프트웨어에서 기본적으로 노출되었으며 공격자가 이를 악용하여 서버 메모리에 저장된 암호화 키와 암호를 쉽게 볼 수 있었습니다."라고 말했습니다. . “방금 OpenSSL에서 보고된 두 가지 취약점은 심각하지만 같은 규모는 아닙니다.”
OpenSSL 버그는 악용하기 어렵습니다…
새로운 결함 중 하나를 악용하려면 취약한 서버가 클라이언트 인증서 인증을 요청해야 하는데 이는 일반적이지 않다고 Knudsen은 말합니다. 그리고 취약한 클라이언트는 일반적이고 방어 가능한 공격 벡터인 악성 서버에 연결해야 한다고 그는 말합니다.
"누구도 이 두 가지 취약점에 대해 화를 내서는 안 되지만 심각하고 적절한 속도와 근면함으로 처리해야 합니다."라고 그는 지적합니다.
한편 블로그 게시물에서 SANS Internet Storm Center는 OpenSSL 업데이트를 다음과 같이 설명했습니다. 인증서 확인 프로세스 중 버퍼 오버런 수정. 악용이 작동하려면 인증서에 악의적인 Punycode 인코딩 이름이 포함되어야 하며 취약점은 인증서 체인이 확인된 후에만 트리거됩니다.
SANS ISC는 “공격자는 먼저 클라이언트가 신뢰하는 인증 기관에서 서명한 악의적인 인증서를 가질 수 있어야 합니다. “이것은 서버에 대해 악용될 수 없는 것으로 보입니다. 서버의 경우 서버가 클라이언트로부터 인증서를 요청하면 악용될 수 있습니다.”
요점: 취약점은 악용하기가 복잡하고 이를 트리거하기 위한 흐름과 요구 사항이 복잡하기 때문에 악용 가능성은 낮다고 Cycode의 Ilgayev는 말합니다. 또한 OpenSSL 3.0 이전 버전을 사용하는 시스템에 비해 상대적으로 적은 수의 시스템에 영향을 미칩니다.
… 그러나 부지런히 일하십시오
동시에 악용하기 어려운 취약점이 과거에 악용되었다는 사실을 명심하는 것이 중요하다고 Ilgayev는 말합니다. NSO 그룹이 iOS의 취약점을 위해 개발한 제로 클릭 익스플로잇 작년에.
"[또한] OpenSSL 팀이 말한 것처럼 '모든 플랫폼과 컴파일러 조합이 스택에 버퍼를 어떻게 배열했는지 알 수 있는 방법이 없으므로' 일부 플랫폼에서는 원격 코드 실행이 여전히 가능할 수 있습니다."라고 그는 경고합니다.
그리고 실제로 Ellzey는 공격자가 OpenSSL 팀이 원래 중요하다고 평가한 결함인 CVE-2022-3602를 악용할 수 있는 방법에 대한 한 가지 시나리오를 설명합니다.
"공격자는 악의적인 서버를 호스팅하고 잠재적으로 전통적인 피싱 전술을 통해 OpenSSL v3.x에 취약한 애플리케이션으로 피해자가 인증하도록 시도합니다." 옆.
이와 같은 취약점은 소프트웨어 BOM (SBOM) 사용된 모든 바이너리에 대해 Ilgayev는 말합니다. "이 라이브러리는 익스플로잇 가능성에 영향을 미칠 다양한 구성으로 연결되고 컴파일될 수 있으므로 패키지 관리자를 살펴보는 것만으로는 충분하지 않습니다."라고 그는 말합니다.
