Varnostni strokovnjaki so opisali dve težko pričakovani ranljivosti, ki ju je skupina projekta OpenSSL popravila v torek, kot težavi, ki ju je treba hitro rešiti, vendar ni nujno, da si zaslužita odziv v sili, ki je vse ostalo.
Izdaja različice 3.0.7 skoraj povsod uporabljene kriptografske knjižnice obravnava dve ranljivosti zaradi prelivanja medpomnilnika, ki obstajata v različicah OpenSSL od 3.0.0 do 3.0.6.
Varnostni strokovnjaki so pred razkritjem opozorili, da je ena od težav, prvotno označena kot "kritična" težava z izvajanjem kode na daljavo, bi lahko predstavljala težavo na ravni Heartbleed, pri vseh na krovu. Na srečo se zdi, da temu ni tako - in pri razkritju napake je projektna skupina OpenSSL dejala, da se je odločila znižajte grožnjo na "visoko" na podlagi povratnih informacij organizacij, ki so testirale in analizirale napako.
Par prelivov medpomnilnika
Prva napaka (CVE-2022-3602) bi dejansko lahko – v določenih okoliščinah – omogočila RCE, zaradi česar so nekateri varnostni strokovnjaki prvotno skrbeli, da bi lahko imela napaka posledice za celotno industrijo. Toda izkazalo se je, da obstajajo olajševalne okoliščine: Prvič, težko ga je izkoriščati, kot je pojasnjeno spodaj. Prav tako niso prizadeti vsi sistemi.
Natančneje, po besedah Marka Ellzeyja, višjega varnostnega raziskovalca pri Censys, so trenutno prizadeti samo brskalniki, ki podpirajo OpenSSL od 3.0.0 do 3.0.6, kot sta Firefox in Internet Explorer; predvsem nespremenjen je Google Chrome, ki je vodilni internetni brskalnik.
"Pričakuje se, da bo učinek minimalen zaradi zapletenosti napada in omejitev, kako ga je mogoče izvesti," pravi. "Organizacije bi morale obnoviti svoje usposabljanje o lažnem predstavljanju in paziti na vire obveščevalnih podatkov o grožnjah, da zagotovijo, da so pripravljene, če bodo tarča napada, kot je ta."
Za začetek je Alex Ilgayev, vodilni varnostni raziskovalec pri Cycode, opozoril, da napake ni mogoče izkoristiti v določenih distribucijah Linuxa; in številne sodobne platforme operacijskih sistemov izvajajo zaščito pred prelivanjem skladov za ublažitev takšnih groženj v vsakem primeru, pravi Ilgajev.
Druga ranljivost (CVE-2022-3786), ki je bil odkrit med razvojem popravka za prvotno napako, bi lahko uporabili za sprožitev pogojev zavrnitve storitve (DoS). Skupina OpenSSL je ocenila, da je ranljivost zelo resna, vendar je izključila možnost, da bi bila uporabljena za izkoriščanje RCE.
Obe ranljivosti sta vezani na funkcionalnost, imenovano Punycode za kodiranje internacionaliziranih domenskih imen.
»Uporabniki OpenSSL 3.0.0 – 3.0.6 so spodbujamo k čimprejšnji nadgradnji na 3.0.7,« je ekipa OpenSSL zapisala v blogu, ki je spremljal razkritje napak in izdajo nove različice kriptografske knjižnice. "Če dobite svojo kopijo OpenSSL od prodajalca vašega operacijskega sistema ali druge tretje osebe, morate čim prej pridobiti posodobljeno različico od njih."
Ni še en Heartbleed
Razkritje hrošča bo zagotovo zmanjšalo — vsaj trenutno — sprožila je vsesplošna zaskrbljenost z obvestilom ekipe OpenSSL prejšnji teden o takrat bližajočem se razkritju hrošča. Zlasti opis prve napake kot »kritične« je spodbudil več primerjav z napako »Heartbleed« iz leta 2014 – edino drugo napako v OpenSSL, ki si je prislužila kritično oceno. Ta hrošč (CVE-2014-0160) je prizadel širok spekter interneta in še zdaj je številne organizacije niso v celoti obravnavale.
"Heartbleed je bil privzeto izpostavljen v kateri koli programski opremi, ki je uporabljala ranljivo različico OpenSSL, in napadalci so ga zelo enostavno izkoristili, da bi videli kriptografske ključe in gesla, shranjena v pomnilniku strežnika," pravi Jonathan Knudsen, vodja globalnih raziskav pri Synopsys Cybersecurity Research Center . "Dve ranljivosti, ki sta pravkar prijavljeni v OpenSSL, sta resni, vendar nista enakega obsega."
Napake OpenSSL je težko izkoristiti ...
Da bi izkoristili eno od novih napak, bi morali ranljivi strežniki zahtevati avtentikacijo potrdila odjemalca, kar ni običajno, pravi Knudsen. In ranljivi odjemalci bi se morali povezati z zlonamernim strežnikom, kar je običajen in ubranljiv vektor napadov, pravi.
»Nikomur se ne bi smele vleči dlake zaradi teh dveh ranljivosti, vendar sta resni in ju je treba obravnavati s primerno hitrostjo in skrbnostjo,« ugotavlja.
V objavi na blogu je SANS Internet Storm Center posodobitev OpenSSL medtem opisal kot popravljanje prekoračitve medpomnilnika med postopkom preverjanja potrdila. Da bi izkoriščanje delovalo, bi moralo potrdilo vsebovati zlonamerno ime, kodirano s Punycode, ranljivost pa bi se sprožila šele, ko je veriga potrdil preverjena.
"Napadalec mora najprej imeti zlonamerno potrdilo, ki ga je podpisal overitelj potrdil, ki mu stranka zaupa," je opozoril SANS ISC. »Zdi se, da tega ni mogoče izkoristiti proti strežnikom. Pri strežnikih je to lahko izkoriščeno, če strežnik od odjemalca zahteva potrdilo.«
Zaključek: Verjetnost izkoriščanja je majhna, saj je ranljivost zapletena za izkoriščanje, tako kot tok in zahteve za sprožitev, pravi Ilgayev iz Cycodea. Poleg tega vpliva na razmeroma majhno število sistemov v primerjavi s tistimi, ki uporabljajo različice OpenSSL pred 3.0.
... Vendar bodite pridni
Hkrati je pomembno upoštevati, da so bile v preteklosti izkoriščene ranljivosti, ki jih je težko izkoristiti, pravi Ilgayev in opozarja na izkoriščanje brez klika, ki ga je skupina NSO razvila za ranljivost v sistemu iOS lansko leto.
»[Prav tako], kot pravi skupina OpenSSL, 'ni mogoče vedeti, kako je vsaka kombinacija platforme in prevajalnika uredila medpomnilnike v skladu', zato je na nekaterih platformah morda še vedno mogoče oddaljeno izvajanje kode,« opozarja.
In res, Ellzey oriše en scenarij, kako bi lahko napadalci izkoristili CVE-2022-3602, napako, ki jo je ekipa OpenSSL prvotno ocenila kot kritično.
»Napadalec bi gostil zlonamerni strežnik in poskušal prepričati žrtve, da se na njem avtentikirajo z aplikacijo, ki je ranljiva za OpenSSL v3.x, potencialno prek tradicionalnih taktik lažnega predstavljanja,« pravi, čeprav je obseg omejen, ker je izkoriščanje pretežno odjemalec. strani.
Ranljivosti, kot je ta, poudarjajo pomen imeti a programsko gradivo (SBOM) za vsako uporabljeno dvojiško datoteko, ugotavlja Ilgajev. "Pogled v upravljalnike paketov ni dovolj, saj je to knjižnico mogoče povezati in prevesti v različnih konfiguracijah, ki bodo vplivale na izkoriščanje," pravi.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
