Az Önhöz hasonló olvasók támogatják a MUO-t. Amikor a webhelyünkön található linkek használatával vásárol, társult jutalékot kaphatunk.
2022 októberének utolsó hetében az OpenSSL Project két biztonsági rést tárt fel az OpenSSL könyvtárban. Mind a CVE-2022-360, mind a CVE-2022-3786 „Magas” súlyosságú problémákat kaptak 8,8-as CVSS-pontszámmal, ami mindössze 0,2 ponttal alacsonyabb, mint amennyire „kritikusnak” kell tekinteni.
A probléma a tanúsítványok ellenőrzési folyamatában rejlik, amelyet az OpenSSL a tanúsítvány alapú hitelesítéshez hajt végre. A sérülékenységek kihasználása lehetővé teheti a támadó számára, hogy szolgáltatásmegtagadási (DoS) vagy akár távoli kódvégrehajtási támadást indítson. Az OpenSSL 3.0.0-tól 3.06-ig terjedő verzióiban talált két gyengeség javítását kiadták.
Mi az az OpenSSL?
Az OpenSSL egy széles körben használt nyílt forráskódú kriptográfiai parancssori segédprogram, amelyet a kliens és a szerver közötti webes forgalom biztonságos cseréjére valósítottak meg. Nyilvános és privát kulcsok generálására, SSL/TLS-tanúsítványok telepítésére, tanúsítványinformációk ellenőrzésére és titkosítás biztosítására használják.
A probléma 2022. október 17-én derült ki, amikor a Polar Bear felfedte az OpenSSL Project 3.0.0–3.0.6 verzióiban talált két magas szintű biztonsági rést. A biztonsági rések a CVE-2022-3602 és a CVE-2022-3786.
2022. október 25-én megjelent a sebezhetőség híre az interneten. Mark Cox, a Red Hat szoftvermérnöke és az Apache Software Foundation biztonsági alelnöke egy tweetben közölte a hírt.
Hogyan tudja egy támadó kihasználni ezeket a sebezhetőségeket?
A CVE-2022-3602 és CVE-2022-3786 biztonsági rések párja hajlamos a puffer túlcsordulási támadás Ez egy számítógépes támadás, amelynek során a szervermemória tartalmával visszaélnek felhasználói információk és a szerver privát kulcsai felfedésére vagy távoli kódvégrehajtásra.
CVE-2022-3602
Ez a biztonsági rés lehetővé teszi a támadó számára, hogy kihasználja a puffertúlcsordulás előnyeit az X.509-tanúsítvány-ellenőrzés során a névkényszer-ellenőrzés során. Ez a tanúsítványlánc ellenőrzése után történik, és CA-aláírásra van szükség a rosszindulatú tanúsítványon, vagy a tanúsítvány-ellenőrzés folytatásához a megbízható kibocsátóhoz való hozzárendelés sikertelensége ellenére is.
A támadó beépítheti adathalász séma például egy koholt e-mail cím létrehozása négy bájt túlcsordulásához a veremben. Ez szolgáltatásmegtagadási (DoS) támadást eredményezhet, amelyben a szolgáltatás összeomlás után elérhetetlenné válik, vagy a támadó távoli kódvégrehajtást hajthat végre, ami azt jelenti, hogy egy kódot távolról futtatnak az alkalmazás vezérléséhez szerver.
Ez a sérülékenység akkor váltható ki, ha egy hiteles TLS-ügyfél csatlakozik egy rosszindulatú kiszolgálóhoz, vagy ha egy hiteles TLS-kiszolgáló csatlakozik egy rosszindulatú ügyfélhez.
CVE-2022-3786
Ezt a biztonsági rést a CVE-2022-3602-höz hasonlóan használják ki. Az egyetlen különbség az, hogy a támadó rosszindulatú e-mail-címet hoz létre, hogy túlcsorduljon tetszőleges számú bájton, amely tartalmazza a "." karakter (tizedesjegy 46). A CVE-2022-3602-ben azonban csak négy, a támadó által vezérelt bájtot használják ki.
Visszatekintés a hírhedt „Heartbleed” sebezhetőségről
2016-ban hasonló problémát fedeztek fel az OpenSSL-ben, amely „Kritikus” súlyossági besorolást kapott. Ez egy memóriakezelési hiba volt, amely lehetővé tette a támadók számára, hogy titkos kulcsokat, jelszavakat és egyéb érzékeny információkat férhessenek hozzá a sebezhető szervereken. A hírhedt hiba ún Heartbleed (CVE-2014-0160) és a mai napig több mint 200 000 gépet tekintenek sebezhetőnek ezzel a gyengeséggel szemben.
Mi a javítás?
A mai kiberbiztonság-tudatos világban sok platform alkalmaz veremtúlcsordulás elleni védelmet, hogy távol tartsa a támadókat. Ez biztosítja a puffer túlcsordulása elleni szükséges csökkentést.
A sérülékenységek további mérséklése magában foglalja az OpenSSL legújabb verziójára való frissítést. Mivel az OpenSSL v3.0.0 v3.0.6 verziója sebezhető, ajánlott az OpenSSL v3.0.7 verzióra frissíteni. Ha azonban használ OpenSSL v1.1.1 és v1.0.2, továbbra is használhatja ezeket a verziókat, mivel a kettő nem érinti őket sebezhetőségek.
A két sebezhetőséget nehéz kihasználni
Csekély az esélye annak, hogy ezekkel a sérülékenységekkel visszaélnek, mert az egyik feltétel egy megbízható CA által aláírt, hibásan formázott tanúsítvány. Az egyre növekvő támadási környezet miatt a legtöbb modern rendszer beépített biztonsági mechanizmusokat alkalmaz az ilyen típusú támadások elkerülése érdekében.
A kiberbiztonság elengedhetetlen a mai világban, a beépített és fejlett védelmi mechanizmusokkal az ehhez hasonló sebezhetőségeket nehéz kihasználni. Az OpenSSL által időben kiadott biztonsági frissítéseknek köszönhetően nem kell aggódnia ezektől a biztonsági résektől. Csak tegye meg a szükséges intézkedéseket, mint például a rendszer javítása és a megfelelő biztonsági rétegek megvalósítása, és már biztonságosan használhatja az OpenSSL-t.
