La patch OpenSSL 3, una volta “critica” ma ora solo “elevata”, corregge un overflow del buffer.

La vulnerabilità OpenSSL una volta è stata contrassegnata come la prima correzione di livello critico da quando il bug Heartbleed che altera Internet è stato appena risolto. Alla fine è apparso come una soluzione di sicurezza “elevata” per un overflow del buffer che interessa tutte le installazioni di OpenSSL 3.x, ma è improbabile che provochi l’esecuzione di codice in modalità remota.

La versione 3.0.7 di OpenSSL è stata annunciata la scorsa settimana come patch di sicurezza critica. Le vulnerabilità specifiche (ora CVE-2022-37786 e CVE-2022-3602 ) erano in gran parte sconosciute fino ad oggi, ma gli analisti e le società di sicurezza web hanno lasciato intendere che potrebbero esserci problemi evidenti e problemi di manutenzione. Alcune distribuzioni Linux, inclusa Fedora , hanno ritardato i rilasci fino al rilascio di una patch. Il gigante della distribuzione Akamai ha notato prima della patch che metà delle loro reti monitorate aveva almeno una macchina con un’istanza vulnerabile di OpenSSL 3.x, e tra quelle reti tra lo 0,2 e il 33% delle macchine erano vulnerabili.

Ma le vulnerabilità specifiche – circostanze limitate, overflow lato client, che sono mitigate dal layout dello stack sulla maggior parte delle piattaforme moderne – sono state ora corrette e classificate “alte”. E poiché OpenSSL 1.1.1 è ancora in supporto a lungo termine, OpenSSL 3.x non è così diffuso.

L’esperto di malware Markus Hutchins indica un commit OpenSSL su GitHub che descrive in dettaglio i problemi con il codice: “risolti due overflow del buffer nelle funzioni di decodifica del codice”. Un indirizzo e-mail dannoso convalidato con un certificato X.509 può causare un overflow di byte nello stack, causando un arresto anomalo o l’esecuzione di codice potenzialmente remoto, a seconda della piattaforma e della configurazione.

Ma questa vulnerabilità colpisce principalmente i client, non i server, quindi è improbabile che segua un ripristino della sicurezza di Internet (e un’assurdità) come Heartbleed. Ad esempio, le VPN che utilizzano OpenSSL 3.x e linguaggi come Node.js potrebbero essere interessate. L’esperto di sicurezza informatica Kevin Beaumont sottolinea che la protezione da overflow dello stack nelle configurazioni predefinite della maggior parte delle distribuzioni Linux dovrebbe impedire l’esecuzione del codice.

Cosa è cambiato tra l’annuncio critico e il rilascio di alto livello? Il team di sicurezza di OpenSSL scrive sul proprio blog che dopo circa una settimana le organizzazioni hanno testato e fornito feedback. Su alcune distribuzioni Linux, un overflow di 4 byte possibile in un singolo attacco sovrascriverebbe un buffer adiacente che non era ancora in uso e quindi non potrebbe causare l’arresto anomalo del sistema o l’esecuzione del codice. Un’altra vulnerabilità consentiva a un utente malintenzionato di impostare solo la lunghezza dell’overflow, ma non il suo contenuto.

Quindi, mentre i crash sono ancora possibili e alcuni stack possono essere organizzati per consentire l’esecuzione di codice in remoto, questo è improbabile o facile, riducendo la vulnerabilità a “alta”. Tuttavia, gli utenti di qualsiasi implementazione di OpenSSL versione 3.x dovrebbero installare la patch il prima possibile. E tutti dovrebbero tenere d’occhio gli aggiornamenti del software e del sistema operativo che possono risolvere questi problemi in vari sottosistemi.

Il servizio di monitoraggio Datadog, in una buona dichiarazione del problema , osserva che il suo team di ricerca sulla sicurezza è stato in grado di fallire una distribuzione di Windows utilizzando la versione OpenSSL 3.x come prova del concetto. E mentre è improbabile che le distribuzioni di Linux siano sfruttabili, potrebbe comunque emergere un “exploit creato per le distribuzioni di Linux”.

Il National Cyber ​​​​Security Center of the Netherlands (NCSL-NL) ha un elenco aggiornato di software vulnerabili all’exploit OpenSSL 3.x. Numerose distribuzioni Linux popolari, piattaforme di virtualizzazione e altri strumenti sono elencati come vulnerabili o sotto inchiesta.