Các bản vá OpenSSL đã hết - Lỗi CRITICAL bị hạ cấp xuống CAO, nhưng vẫn phải vá!

Chúng tôi sẽ bắt đầu với những thứ quan trọng: các bản sửa lỗi OpenSSL được chờ đợi rộng rãi được công bố vào tuần trước ra ngoài.

OpenSSL 1.1.1 chuyển đến phiên bản 1.1.1svà vá một lỗi liên quan đến bảo mật được liệt kê, nhưng lỗi này không có xếp hạng bảo mật hoặc số CVE chính thức.

Chúng tôi thực sự khuyên bạn nên cập nhật, nhưng bản cập nhật CRITICAL mà bạn sẽ thấy trên phương tiện truyền thông an ninh mạng không áp dụng cho phiên bản này.

OpenSSL 3.0 chuyển đến phiên bản 3.0.7và các bản vá không phải một mà là hai lỗi bảo mật được đánh số CVE được chỉ định chính thức ở mức độ nghiêm trọng CAO.

Chúng tôi thực sự khuyên bạn nên cập nhật, với mức độ khẩn cấp nhất có thể, nhưng bản sửa lỗi CRITICAL mà mọi người vẫn nhắc đến hiện đã bị hạ cấp xuống mức độ nghiêm trọng CAO.

Điều này phản ánh ý kiến ​​của nhóm OpenSSL:

Thông báo trước về CVE-2022-3602 đã mô tả vấn đề này là CRITICAL. Phân tích sâu hơn dựa trên một số yếu tố giảm thiểu được mô tả [trong ghi chú phát hành] đã khiến điều này bị hạ cấp xuống CAO. Người dùng vẫn được khuyến khích nâng cấp lên phiên bản mới càng sớm càng tốt.

Trớ trêu thay, một lỗi thứ hai và tương tự, được đặt tên là CVE-2022-3786, đã được phát hiện trong khi bản sửa lỗi cho CVE-2022-3602 đang được chuẩn bị.

Lỗi ban đầu chỉ cho phép kẻ tấn công làm hỏng bốn byte trên ngăn xếp, điều này giới hạn khả năng khai thác của lỗ hổng, trong khi lỗi thứ hai cho phép tràn ngăn xếp không giới hạn, nhưng dường như chỉ có ký tự “chấm” (ASCII 46, hoặc 0x2E ) lặp đi lặp lại nhiều lần.

Cả hai lỗ hổng đều lộ ra trong quá trình xác minh chứng chỉ TLS, trong đó máy khách hoặc máy chủ bị mắc kẹt "tự nhận dạng" với máy chủ hoặc máy khách ở đầu kia bằng chứng chỉ TLS có chủ ý không đúng.

Mặc dù các loại tràn ngăn xếp này (một loại có kích thước hạn chế và loại khác có giá trị dữ liệu hạn chế) nghe có vẻ khó khai thác để thực thi mã (đặc biệt là trong phần mềm 64 bit, nơi bốn byte chỉ bằng một nửa địa chỉ bộ nhớ) …

… Chúng gần như chắc chắn có thể dễ dàng bị khai thác cho các cuộc tấn công DoS (từ chối dịch vụ), nơi người gửi chứng chỉ giả mạo có thể làm hỏng người nhận chứng chỉ đó theo ý muốn.

May mắn thay, hầu hết các trao đổi TLS liên quan đến việc khách hàng xác minh chứng chỉ máy chủ chứ không phải ngược lại.

Ví dụ: hầu hết các máy chủ web không yêu cầu khách truy cập xác định danh tính bản thân bằng chứng chỉ trước khi cho phép họ đọc trang web, vì vậy "hướng sự cố" của bất kỳ hoạt động khai thác nào có khả năng là máy chủ giả mạo gây ra sự cố cho khách truy cập, điều này thường được coi là ít nghiêm trọng hơn nhiều so với việc máy chủ gặp sự cố mỗi khi chúng được duyệt bởi một khách truy cập lừa đảo.

Tuy nhiên, bất kỳ kỹ thuật nào mà một web hoặc máy chủ email bị tấn công có thể làm sập một trình duyệt hoặc ứng dụng email đang truy cập một cách vô cớ phải được coi là nguy hiểm, đặc biệt là vì bất kỳ nỗ lực nào của phần mềm khách để thử lại kết nối sẽ dẫn đến việc ứng dụng bị treo liên tục lại.

Do đó bạn chắc chắn muốn vá lỗi này ngay khi bạn có thể.

Phải làm gì?

Như đã nói ở trên, bạn cần OpenSSL 1.1.1s or Mở SSL 3.0.7 để thay thế bất kỳ phiên bản nào bạn có vào lúc này.

OpenSSL 1.1.1s nhận được một bản vá bảo mật được mô tả là sửa chữa "Một hồi quy [một lỗi cũ xuất hiện lại] được giới thiệu trong OpenSSL 1.1.1 hoặc không làm mới dữ liệu chứng chỉ sẽ được ký trước khi ký chứng chỉ", lỗi đó không có mức độ nghiêm trọng hoặc CVE được chỉ định cho nó…

… Nhưng đừng để điều đó khiến bạn ngừng cập nhật ngay khi có thể.

Mở SSL 3.0.7 nhận được hai bản sửa lỗi mức độ nghiêm trọng CAO được đánh số CVE được liệt kê ở trên và mặc dù hiện tại chúng nghe có vẻ không đáng sợ như chúng đã làm trong lễ hội tin tức dẫn đến bản phát hành này, bạn nên giả định rằng:

• Nhiều kẻ tấn công sẽ nhanh chóng tìm ra cách khai thác những lỗ hổng này cho mục đích DoS. Điều đó có thể gây ra gián đoạn quy trình làm việc và tệ nhất là sự cố an ninh mạng, đặc biệt nếu lỗi có thể bị lạm dụng để làm chậm hoặc phá vỡ các quy trình tự động quan trọng (chẳng hạn như cập nhật) trong hệ sinh thái CNTT của bạn.
• Một số kẻ tấn công có thể quấn các lỗi này để thực thi mã từ xa. Điều này sẽ tạo cơ hội tốt cho bọn tội phạm sử dụng các máy chủ web bị bẫy booby để lật đổ phần mềm máy khách được sử dụng để tải xuống an toàn trong doanh nghiệp của bạn.
• Nếu một bằng chứng về khái niệm (PoC) được tìm thấy, nó sẽ thu hút được sự quan tâm rất lớn. Như bạn sẽ nhớ từ Log4Shell, ngay sau khi các PoC được xuất bản, hàng nghìn "nhà nghiên cứu" tự xưng là đã tham gia vào băng nhóm quét-internet-và-tấn-công-khi-bạn-đi dưới chiêu bài "giúp đỡ" mọi người tìm thấy sự cố trên mạng của họ.

Lưu ý rằng OpenSSL 1.0.2 vẫn được hỗ trợ và cập nhật, nhưng chỉ dành riêng cho những khách hàng đã thanh toán hợp đồng với nhóm OpenSSL, đó là lý do tại sao chúng tôi không có bất kỳ thông tin nào để tiết lộ về nó ở đây, ngoài việc xác nhận rằng CVE -số lỗi trong OpenSSL 3.0 không áp dụng cho dòng OpenSSL 1.0.2.

Bạn có thể đọc thêmvà lấy của bạn Cập nhật OpenSSL, từ Trang web OpenSSL.

Ồ, và nếu các PoC bắt đầu xuất hiện trực tuyến, xin đừng trở thành một kẻ thông minh và bắt đầu “thử” các PoC đó với máy tính của người khác với ấn tượng rằng bạn đang “giúp đỡ” bất kỳ loại “nghiên cứu” nào.

---