Эксперты по безопасности описали две долгожданные уязвимости, которые команда OpenSSL Project исправила во вторник, как проблемы, которые необходимо решать быстро, но не обязательно заслуживающие экстренного реагирования типа «отбросить все остальное».
Выпуск версии 3.0.7 почти повсеместно используемой криптографической библиотеки устраняет две уязвимости, связанные с переполнением буфера, которые существуют в версиях OpenSSL с 3.0.0 по 3.0.6.
В преддверии раскрытия эксперты по безопасности предупредили, что одна из проблем, первоначально характеризовался как «критический». проблема с удаленным выполнением кода может представлять собой проблему уровня Heartbleed, связанную со всеми руками. К счастью, похоже, это не так, и, обнаружив недостаток, команда проекта OpenSSL заявила, что решила понизить уровень угрозы до «высокой» на основе отзывов организаций, которые протестировали и проанализировали ошибку.
Пара переполнений буфера
Первая ошибка(CVE-2022-3602) действительно может — при определенном стечении обстоятельств — включить RCE, что изначально заставило некоторых экспертов по безопасности опасаться, что уязвимость может иметь последствия для всей отрасли. Но оказывается, что есть смягчающие обстоятельства: во-первых, это сложно использовать, как описано ниже. Кроме того, не все системы затронуты.
В частности, по словам Марка Эллзи, старшего исследователя безопасности в Censys, в настоящее время затронуты только браузеры, поддерживающие OpenSSL 3.0.0–3.0.6, такие как Firefox и Internet Explorer; в частности, не пострадал Google Chrome, который является ведущим интернет-браузером.
«Ожидается, что воздействие будет минимальным из-за сложности атаки и ограничений в способах ее проведения», — говорит он. «Организации должны освежить свое обучение фишингу и следить за источниками информации об угрозах, чтобы убедиться, что они готовы, если они станут целью атаки, подобной этой».
Кроме того, Алекс Ильгаев, ведущий исследователь безопасности в Cycode, отметил, что уязвимость нельзя использовать в некоторых дистрибутивах Linux; и многие современные платформы ОС реализуют защиту от переполнения стека, чтобы в любом случае смягчить подобные угрозы, говорит Ильгаев.
Вторая уязвимость (CVE-2022-3786), который был обнаружен во время разработки исправления исходной уязвимости, может использоваться для запуска условий отказа в обслуживании (DoS). Команда OpenSSL оценила уязвимость как очень опасную, но исключила возможность ее использования для эксплуатации RCE.
Обе уязвимости связаны с функцией под названием Punycode для кодирования интернационализированных доменных имен.
«Пользователи OpenSSL 3.0.0 – 3.0.6 рекомендуется как можно скорее обновиться до 3.0.7», — говорится в блоге команды OpenSSL, сопровождающем раскрытие ошибки и выпуск новой версии криптографической библиотеки. «Если вы получаете свою копию OpenSSL от поставщика вашей операционной системы или другого третьего лица, вам следует как можно скорее получить от них обновленную версию».
Не другое сердцебиение
Раскрытие ошибок обязательно смягчит — по крайней мере, на данный момент — всеобщее беспокойство вызвало на прошлой неделе команда OpenSSL уведомила о предстоящем раскрытии ошибки. Описание первой ошибки как «критической», в частности, вызвало несколько сравнений с ошибкой «Heartbleed» 2014 года — единственной другой ошибкой в OpenSSL, получившей критический рейтинг. Эта ошибка (CVE-2014-0160) затронула большую часть Интернета, и даже сейчас во многих организациях она не устранена полностью.
«Heartbleed по умолчанию подвергался воздействию любого программного обеспечения, использующего уязвимую версию OpenSSL, и злоумышленники могли легко использовать его для просмотра криптографических ключей и паролей, хранящихся в памяти сервера», — говорит Джонатан Кнудсен, руководитель отдела глобальных исследований Synopsys Cybersecurity Research Center. . «Две уязвимости, о которых только что сообщалось в OpenSSL, серьезны, но не одинакового масштаба».
Ошибки OpenSSL трудно использовать…
По словам Кнудсена, для использования любой из новых уязвимостей уязвимым серверам потребуется запрашивать аутентификацию сертификата клиента, что не является нормой. По его словам, уязвимым клиентам потребуется подключиться к вредоносному серверу, что является обычным и защищенным вектором атаки.
«Никого не должно волновать эти две уязвимости, но они серьезны и должны устраняться с соответствующей скоростью и усердием», — отмечает он.
Тем временем в сообщении в блоге SANS Internet Storm Center описал обновление OpenSSL как исправление переполнения буфера в процессе проверки сертификата. Чтобы эксплойт сработал, сертификат должен содержать вредоносное имя в кодировке Punycode, а уязвимость активируется только после проверки цепочки сертификатов.
«Атакующий сначала должен получить вредоносный сертификат, подписанный центром сертификации, которому доверяет клиент», — отмечает SANS ISC. «Похоже, это не может быть использовано против серверов. Для серверов это может быть использовано, если сервер запрашивает сертификат у клиента».
Итог: вероятность эксплуатации низкая, поскольку уязвимость сложна для использования, как и процесс и требования для ее запуска, говорит Илгаев из Cycode. Кроме того, он затрагивает относительно небольшое количество систем по сравнению с теми, которые используют версии OpenSSL до 3.0.
…Но будьте усердны
В то же время важно иметь в виду, что трудноиспользуемые уязвимости эксплуатировались и в прошлом, говорит Илгаев, указывая на эксплойт с нулевым кликом, разработанный NSO Group для уязвимости в iOS в прошлом году.
«[Кроме того], как говорит команда OpenSSL, нет никакого способа узнать, как каждая комбинация платформы и компилятора расположила буферы в стеке», и поэтому удаленное выполнение кода все еще может быть возможно на некоторых платформах», — предупреждает он.
И действительно, Эллзи обрисовывает в общих чертах один сценарий того, как злоумышленники могут использовать CVE-2022-3602, недостаток, который команда OpenSSL первоначально оценила как критический.
«Злоумышленник размещает вредоносный сервер и пытается заставить жертв аутентифицироваться на нем с помощью приложения, уязвимого для OpenSSL v3.x, возможно, с помощью традиционной тактики фишинга», — говорит он, хотя возможности ограничены из-за того, что эксплойт является преимущественно клиентским. сторона.
Уязвимости, подобные этой, подчеркивают важность наличия спецификация программного обеспечения (SBOM) для каждого используемого двоичного файла, отмечает Ильгаев. «Недостаточно взглянуть на менеджеры пакетов, так как эта библиотека может быть связана и скомпилирована в различных конфигурациях, что повлияет на возможность эксплуатации», — говорит он.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
