El parche OpenSSL 3, una vez «crítico» pero ahora simplemente «alto», corrige un desbordamiento de búfer.

La vulnerabilidad de OpenSSL se marcó una vez como la primera solución de nivel crítico desde que se solucionó el error Heartbleed que altera Internet. Eventualmente apareció como una solución de «alta» seguridad para un desbordamiento de búfer que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que resulte en la ejecución remota de código.

La versión 3.0.7 de OpenSSL se anunció la semana pasada como un parche de seguridad crítico. Las vulnerabilidades específicas (ahora CVE-2022-37786 y CVE-2022-3602 ) eran en gran parte desconocidas hasta hoy, pero los analistas de seguridad web y las empresas han insinuado que puede haber problemas notables y problemas de mantenimiento. Algunas distribuciones de Linux, incluida Fedora , tienen lanzamientos retrasados ​​hasta que se lanza un parche. El gigante de la distribución Akamai notó antes del parche que la mitad de sus redes monitoreadas tenían al menos una máquina con una instancia vulnerable de OpenSSL 3.x, y entre esas redes, entre el 0,2 y el 33 por ciento de las máquinas eran vulnerables.

Pero las vulnerabilidades específicas (circunstancias limitadas, desbordamientos del lado del cliente, que se mitigan mediante el diseño de la pila en la mayoría de las plataformas modernas) ahora se han parcheado y calificado como «alto». Y debido a que OpenSSL 1.1.1 todavía tiene soporte a largo plazo, OpenSSL 3.x no está tan extendido.

El experto en malware Markus Hutchins señala una confirmación de OpenSSL en GitHub que detalla los problemas con el código: «se corrigieron dos desbordamientos de búfer en las funciones de decodificación de código». Una dirección de correo electrónico malintencionada validada con un certificado X.509 puede provocar un desbordamiento de bytes en la pila, lo que provoca un bloqueo o una posible ejecución remota del código, según la plataforma y la configuración.

Pero esta vulnerabilidad afecta principalmente a los clientes, no a los servidores, por lo que es poco probable que se produzca un restablecimiento de la seguridad de Internet (y un absurdo) como Heartbleed. Por ejemplo, las VPN que usan OpenSSL 3.x e idiomas como Node.js pueden verse afectadas. El experto en ciberseguridad Kevin Beaumont señala que la protección contra desbordamiento de pila en las configuraciones predeterminadas de la mayoría de las distribuciones de Linux debería evitar que se ejecute el código.

¿Qué ha cambiado entre el anuncio crítico y el lanzamiento de alto nivel? El equipo de seguridad de OpenSSL escribe en su blog que después de aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios. En algunas distribuciones de Linux, un posible desbordamiento de 4 bytes en un solo ataque sobrescribiría un búfer adyacente que aún no estaba en uso y, por lo tanto, no podría bloquear el sistema ni provocar la ejecución del código. Otra vulnerabilidad permitía a un atacante establecer solo la duración del desbordamiento, pero no su contenido.

Por lo tanto, si bien aún es posible que se produzcan bloqueos, y algunas pilas se pueden organizar para permitir la ejecución remota de código, esto es poco probable o fácil, lo que reduce la vulnerabilidad a «alta». Sin embargo, los usuarios de cualquier implementación de OpenSSL versión 3.x deben instalar el parche lo antes posible. Y todos deben estar atentos a las actualizaciones de software y sistema operativo que pueden solucionar estos problemas en varios subsistemas.

El servicio de monitoreo Datadog, en una buena declaración del problema , señala que su equipo de investigación de seguridad pudo fallar en una implementación de Windows utilizando la versión OpenSSL 3.x como prueba de concepto. Y aunque es poco probable que las implementaciones de Linux sean explotables, aún podría surgir un «exploit construido para implementaciones de Linux».

El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSL-NL) tiene una lista actualizada de software vulnerable al exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas se enumeran como vulnerables o bajo investigación.