Especialistas em segurança descreveram duas vulnerabilidades altamente antecipadas que a equipe do OpenSSL Project corrigiu na terça-feira como problemas que precisam ser resolvidos rapidamente, mas não necessariamente merecendo uma resposta de emergência do tipo abandonar tudo.
O lançamento da versão 3.0.7 da biblioteca criptográfica quase onipresente aborda duas vulnerabilidades de estouro de buffer, que existem nas versões 3.0.0 a 3.0.6 do OpenSSL.
Antes da divulgação, especialistas em segurança alertaram que um dos problemas, originalmente caracterizado como um “crítico” problema de execução remota de código, pode apresentar um problema de nível Heartbleed, com todas as mãos no convés. Felizmente, não parece ser o caso - e ao revelar a falha, a equipe do projeto OpenSSL disse que decidiu rebaixar a ameaça para “alta” com base no feedback de organizações que testaram e analisaram o bug.
Um par de estouros de buffer
O primeiro erro (CVE-2022-3602) poderia de fato — sob um conjunto específico de circunstâncias — ativar o RCE, o que originalmente levou alguns especialistas em segurança a temer que a falha pudesse ter repercussões em todo o setor. Mas acontece que existem circunstâncias atenuantes: por exemplo, é difícil de explorar, conforme explicado abaixo. Além disso, nem todos os sistemas são afetados.
Especificamente, apenas navegadores que suportam OpenSSL 3.0.0 até 3.0.6, como Firefox e Internet Explorer, são afetados neste momento, de acordo com Mark Ellzey, pesquisador sênior de segurança do Censys; notavelmente não afetado é o Google Chrome, que é o principal navegador da Internet.
“Espera-se que o impacto seja mínimo devido à complexidade do ataque e às limitações de como ele pode ser realizado”, diz ele. “As organizações devem aprimorar seu treinamento de phishing e ficar de olho nas fontes de inteligência de ameaças para garantir que estejam preparadas caso sejam alvo de um ataque como este.”
Para começar, Alex Ilgayev, principal pesquisador de segurança da Cycode, observou que a falha não pode ser explorada em certas distribuições do Linux; e muitas plataformas de SO modernas implementam proteções de estouro de pilha para mitigar ameaças como essas em qualquer caso, diz Ilgayev.
A segunda vulnerabilidade (CVE-2022-3786), que foi descoberto enquanto uma correção para a falha original estava sendo desenvolvida, poderia ser usado para acionar condições de negação de serviço (DoS). A equipe do OpenSSL avaliou a vulnerabilidade como sendo de alta gravidade, mas descartou a possibilidade de ser usada para exploração de RCE.
Ambas as vulnerabilidades estão ligadas a uma funcionalidade chamada Punycode para codificar nomes de domínio internacionalizados.
“Os usuários do OpenSSL 3.0.0 – 3.0.6 são incentivado a atualizar para 3.0.7 o mais rápido possível”, disse a equipe do OpenSSL em um blog que acompanha a divulgação do bug e o lançamento da nova versão da biblioteca criptográfica. “Se você obtiver sua cópia do OpenSSL de seu fornecedor de sistema operacional ou de terceiros, procure obter uma versão atualizada deles o mais rápido possível.”
Não é outro coração sangrando
A divulgação do bug com certeza irá conter - por enquanto, pelo menos - a preocupação generalizada despertou pela notificação da equipe do OpenSSL na semana passada sobre a divulgação iminente do bug. A descrição da primeira falha como sendo “crítica”, em particular, levou a várias comparações com o bug “Heartbleed” de 2014 – o único outro bug no OpenSSL a receber uma classificação crítica. Esse bug (CVE-2014-0160) afetou uma ampla faixa da Internet e até agora não foi totalmente resolvido em muitas organizações.
“O Heartbleed foi exposto por padrão em qualquer software que usasse uma versão vulnerável do OpenSSL e era facilmente explorável por invasores para ver chaves criptográficas e senhas armazenadas na memória do servidor”, diz Jonathan Knudsen, chefe de pesquisa global do Synopsys Cybersecurity Research Center . “As duas vulnerabilidades que acabamos de relatar no OpenSSL são sérias, mas não da mesma magnitude.”
Bugs do OpenSSL são difíceis de explorar…
Para explorar qualquer uma das novas falhas, os servidores vulneráveis precisariam solicitar autenticação de certificado de cliente, o que não é a norma, diz Knudsen. E os clientes vulneráveis precisariam se conectar a um servidor malicioso, que é um vetor de ataque comum e defensável, diz ele.
“Ninguém deveria se preocupar com essas duas vulnerabilidades, mas elas são sérias e devem ser tratadas com a devida rapidez e diligência”, observa.
Em uma postagem no blog, o SANS Internet Storm Center descreveu a atualização do OpenSSL como corrigindo uma saturação de buffer durante o processo de verificação do certificado. Para que uma exploração funcione, o certificado precisaria conter um nome malicioso codificado em Punycode, e a vulnerabilidade seria acionada somente após a verificação da cadeia de certificados.
“Primeiro, um invasor precisa ter um certificado malicioso assinado por uma autoridade de certificação em que o cliente confie”, observou o SANS ISC. “Isso não parece ser explorável contra servidores. Para servidores, isso pode ser explorável se o servidor solicitar um certificado do cliente.”
Resumindo: a probabilidade de exploração é baixa, pois a vulnerabilidade é complexa de explorar, assim como o fluxo e os requisitos para acioná-la, diz Ilgayev, da Cycode. Além disso, afeta um número relativamente pequeno de sistemas, em comparação com aqueles que usam versões pré-3.0 do OpenSSL.
…Mas seja diligente
Ao mesmo tempo, é importante ter em mente que vulnerabilidades difíceis de explorar foram exploradas no passado, diz Ilgayev, apontando para uma exploração de clique zero que o NSO Group desenvolveu para uma vulnerabilidade no iOS ano passado.
“[Além disso], como diz a equipe do OpenSSL, 'não há como saber como cada combinação de plataforma e compilador organizou os buffers na pilha' e, portanto, a execução remota de código ainda pode ser possível em algumas plataformas”, ele adverte.
E, de fato, Ellzey descreve um cenário de como os invasores podem explorar o CVE-2022-3602, a falha que a equipe do OpenSSL originalmente avaliou como crítica.
“Um invasor hospedaria um servidor mal-intencionado e tentaria fazer com que as vítimas se autenticassem nele com um aplicativo vulnerável ao OpenSSL v3.x, possivelmente por meio de táticas de phishing tradicionais”, diz ele, embora o escopo seja limitado devido ao exploit ser predominantemente do cliente. lado.
Vulnerabilidades como essa destacam a importância de ter um lista de materiais de software (SBOM) para cada binário usado, observa Ilgayev. “Observar os gerenciadores de pacotes não é suficiente, pois essa biblioteca pode ser vinculada e compilada em várias configurações que afetarão a capacidade de exploração”, diz ele.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
