Łatka OpenSSL 3, kiedyś „krytyczna”, ale teraz „wysoka”, naprawia przepełnienie bufora.

Luka w zabezpieczeniach OpenSSL została kiedyś oznaczona jako pierwsza poprawka na poziomie krytycznym od czasu naprawienia zmieniającego Internet błędu Heartbleed. W końcu pojawiła się jako „wysoka” poprawka bezpieczeństwa dla przepełnienia bufora, która wpływa na wszystkie instalacje OpenSSL 3.x, ale jest mało prawdopodobne, aby doprowadziła do zdalnego wykonania kodu.

Wersja OpenSSL 3.0.7 została ogłoszona w zeszłym tygodniu jako krytyczna poprawka bezpieczeństwa. Konkretne luki w zabezpieczeniach (obecnie CVE-2022-37786 i CVE-2022-3602 ) były do ​​dziś w dużej mierze nieznane, ale analitycy bezpieczeństwa sieci i firmy zasugerowali, że mogą wystąpić zauważalne problemy i problemy z konserwacją. Niektóre dystrybucje Linuksa, w tym Fedora , mają opóźnione wydania do czasu wydania łatki. Gigant dystrybucyjny Akamai zauważył przed poprawką, że połowa monitorowanych przez nich sieci miała co najmniej jedną maszynę z podatną na ataki instancją OpenSSL 3.x, a wśród tych sieci od 0,2 do 33 procent maszyn było podatnych na ataki.

Ale określone luki – ograniczone okoliczności, przepełnienia po stronie klienta, które są łagodzone przez układ stosu na większości nowoczesnych platform – zostały teraz załatane i ocenione jako „wysokie”. A ponieważ OpenSSL 1.1.1 jest nadal wspierany długoterminowo, OpenSSL 3.x nie jest tak rozpowszechniony.

Ekspert ds. złośliwego oprogramowania, Markus Hutchins, wskazuje na zatwierdzenie OpenSSL na GitHub , które szczegółowo opisuje problemy z kodem: „naprawiono dwa przepełnienia bufora w funkcjach dekodowania kodu”. Złośliwy adres e-mail zweryfikowany za pomocą certyfikatu X.509 może spowodować przepełnienie stosu, prowadząc do awarii lub potencjalnie zdalnego wykonania kodu, w zależności od platformy i konfiguracji.

Ale ta luka dotyczy głównie klientów, a nie serwerów, więc mało prawdopodobne jest zresetowanie (i absurd) bezpieczeństwa internetowego, takie jak Heartbleed. Na przykład może to mieć wpływ na VPN korzystające z OpenSSL 3.x i języków takich jak Node.js. Ekspert ds. cyberbezpieczeństwa, Kevin Beaumont, zwraca uwagę, że ochrona przed przepełnieniem stosu w domyślnych konfiguracjach większości dystrybucji Linuksa powinna zapobiegać wykonywaniu kodu.

Co zmieniło się między krytycznym ogłoszeniem a wydaniem na wysokim poziomie? Zespół bezpieczeństwa OpenSSL pisze na swoim blogu , że po około tygodniu organizacje przetestowały i przekazały informacje zwrotne. W niektórych dystrybucjach Linuksa 4-bajtowe przepełnienie możliwe w pojedynczym ataku spowodowałoby nadpisanie sąsiedniego bufora, który nie był jeszcze używany, a zatem nie mógłby spowodować awarii systemu ani spowodować wykonania kodu. Kolejna luka pozwoliła atakującemu ustawić tylko długość przepełnienia, ale nie jego zawartość.

Tak więc, chociaż awarie są nadal możliwe, a niektóre stosy można skonfigurować tak, aby umożliwić zdalne wykonanie kodu, jest to mało prawdopodobne lub łatwe, zmniejszając podatność do „wysokiego”. Jednak użytkownicy dowolnej implementacji OpenSSL w wersji 3.x powinni jak najszybciej zainstalować poprawkę. I każdy powinien mieć oko na aktualizacje oprogramowania i systemu operacyjnego, które mogą rozwiązać te problemy w różnych podsystemach.

Usługa monitorująca Datadog w dobrym opisie problemu zauważa, że ​​jej zespół ds. badań bezpieczeństwa był w stanie zawieść wdrożenie systemu Windows przy użyciu wersji OpenSSL 3.x jako dowodu słuszności koncepcji. I chociaż jest mało prawdopodobne, aby wdrożenia Linuksa nadawały się do wykorzystania, „exploit stworzony dla wdrożeń Linuksa” wciąż może się pojawić.

Holenderskie Narodowe Centrum Cyberbezpieczeństwa (NCSL-NL) posiada aktualną listę oprogramowania podatnego na exploit OpenSSL 3.x. Liczne popularne dystrybucje Linuksa, platformy wirtualizacyjne i inne narzędzia są wymienione jako podatne na ataki lub w trakcie sprawdzania.