安全专家将 OpenSSL 项目团队周二修补的两个备受期待的漏洞描述为需要快速解决的问题,但不一定值得放弃一切紧急响应。
几乎普遍使用的加密库 3.0.7 版本的发布解决了 OpenSSL 版本 3.0.0 至 3.0.6 中存在的两个缓冲区溢出漏洞。
在披露之前,安全专家警告说,其中一个问题是, 最初被定性为“关键” 远程代码执行问题,可能会带来 Heartbleed 级别的全员参与的问题。值得庆幸的是,情况似乎并非如此——在披露该缺陷时,OpenSSL 项目团队表示已决定 将威胁降级为“高” 基于测试和分析该错误的组织的反馈。
一对缓冲区溢出
第一个错误(CVE-2022-3602)确实可以在特定情况下启用 RCE,这最初导致一些安全专家担心该缺陷可能会产生全行业的影响。但事实证明,存在一些缓解情况:首先,它很难被利用,如下所述。此外,并非所有系统都会受到影响。
Censys 高级安全研究员 Mark Ellzey 表示,具体来说,目前只有支持 OpenSSL 3.0.0 至 3.0.6 的浏览器(例如 Firefox 和 Internet Explorer)受到影响;值得注意的是,领先的互联网浏览器 Google Chrome 没有受到影响。
他表示:“由于攻击的复杂性及其实施方式的限制,预计影响将会很小。” “组织应该加强网络钓鱼培训,并密切关注威胁情报来源,以确保他们在成为此类攻击的目标时做好准备。”
首先,Cycode 的首席安全研究员 Alex Ilgayev 指出,该缺陷无法在某些 Linux 发行版上被利用;而且,许多现代操作系统平台都实施了堆栈溢出保护,以在任何情况下减轻此类威胁,伊尔加耶夫说。
第二个漏洞(CVE-2022-3786),这是在开发原始缺陷的修复程序时发现的,可用于触发拒绝服务(DoS)条件。 OpenSSL 团队评估该漏洞的严重性,但排除了该漏洞被用于 RCE 攻击的可能性。
这两个漏洞都与一个名为 Punycode码 用于编码国际化域名。
“OpenSSL 3.0.0 – 3.0.6 的用户是 鼓励尽快升级到3.0.7”,OpenSSL 团队在错误披露和新版本加密库发布的博客中表示。 “如果您从操作系统供应商或其他第三方获得 OpenSSL 副本,那么您应该尽快从他们那里获取更新版本。”
不再有一次心血
漏洞披露肯定会得到遏制——至少目前如此—— 引发广泛关注 OpenSSL 团队上周通知其即将披露的错误。特别是,第一个缺陷被描述为“严重”,这促使人们将其与 2014 年的“Heartbleed”漏洞进行了多次比较——这是 OpenSSL 中唯一获得严重评级的其他漏洞。该错误 (CVE-2014-0160) 影响了互联网的广泛范围,甚至现在许多组织尚未得到完全解决。
Synopsys 网络安全研究中心全球研究主管 Jonathan Knudsen 表示:“Heartbleed 在任何使用 OpenSSL 易受攻击版本的软件上默认都会暴露,攻击者很容易利用它来查看服务器内存中存储的加密密钥和密码。” 。 “刚刚报告的 OpenSSL 中的两个漏洞很严重,但程度不同。”
OpenSSL 漏洞很难被利用……
克努森说,要利用其中一个新缺陷,易受攻击的服务器需要请求客户端证书身份验证,但这并不常见。他说,易受攻击的客户端需要连接到恶意服务器,这是一种常见且可防御的攻击媒介。
“没有人应该对这两个漏洞感到愤怒,但它们很严重,应该以适当的速度和勤奋来处理,”他指出。
同时,SANS 互联网风暴中心在一篇博客文章中将 OpenSSL 更新描述为 修复证书验证过程中的缓冲区溢出问题。要利用该漏洞,证书需要包含恶意的 Punycode 编码名称,并且只有在验证证书链后才会触发该漏洞。
SANS ISC 指出:“攻击者首先需要能够拥有由客户端信任的证书颁发机构签署的恶意证书。” “这似乎无法针对服务器进行利用。对于服务器来说,如果服务器向客户端请求证书,则可能会被利用。”
底线:Cycode 的 Ilgayev 表示,由于该漏洞的利用非常复杂,触发该漏洞的流程和要求也很复杂,因此被利用的可能性很低。此外,与使用 OpenSSL 3.0 之前版本的系统相比,它影响的系统数量相对较少。
......但一定要勤奋
伊尔加耶夫表示,与此同时,重要的是要记住,过去曾利用过难以利用的漏洞,并指出 NSO Group 针对 iOS 中的漏洞开发的零点击漏洞利用 去年。
“[此外],正如 OpenSSL 团队所说,‘无法知道每个平台和编译器组合如何安排堆栈上的缓冲区’,因此在某些平台上远程代码执行仍然是可能的,”他警告说。
事实上,Ellzey 概述了攻击者如何利用 CVE-2022-3602 的一种场景,OpenSSL 团队最初将该缺陷评估为严重缺陷。
他表示:“攻击者可能会托管恶意服务器,并尝试使用易受 OpenSSL v3.x 攻击的应用程序来让受害者对其进行身份验证,这可能是通过传统的网络钓鱼策略,”尽管由于漏洞利用主要是客户端,因此范围有限。边。
诸如此类的漏洞凸显了拥有一个 软件物料清单 Ilgayev 指出,对于每个使用的二进制文件(SBOM)。 “仅仅查看包管理器是不够的,因为这个库可以在各种配置中链接和编译,这将影响可利用性,”他说。
