O patch OpenSSL 3, antes “crítico”, mas agora apenas “alto”, corrige um estouro de buffer.

A vulnerabilidade do OpenSSL já foi marcada como a primeira correção de nível crítico desde que o bug Heartbleed, que alterava a Internet, foi corrigido. Eventualmente, apareceu como uma correção de segurança “alta” para um estouro de buffer que afeta todas as instalações do OpenSSL 3.x, mas é improvável que resulte na execução remota de código.

O OpenSSL versão 3.0.7 foi anunciado na semana passada como um patch crítico de segurança. As vulnerabilidades específicas (agora CVE-2022-37786 e CVE-2022-3602 ) eram amplamente desconhecidas até hoje, mas analistas de segurança da Web e empresas sugeriram que pode haver problemas perceptíveis e problemas de manutenção. Algumas distribuições do Linux, incluindo o Fedora , atrasaram os lançamentos até que um patch seja lançado. A gigante da distribuição Akamai observou antes do patch que metade de suas redes monitoradas tinha pelo menos uma máquina com uma instância vulnerável do OpenSSL 3.x, e entre essas redes entre 0,2 e 33 por cento das máquinas eram vulneráveis.

Mas vulnerabilidades específicas – circunstâncias limitadas, estouros do lado do cliente, que são mitigados pelo layout da pilha na maioria das plataformas modernas – agora foram corrigidas e classificadas como “altas”. E como o OpenSSL 1.1.1 ainda está em suporte de longo prazo, o OpenSSL 3.x não é tão difundido.

O especialista em malware Markus Hutchins aponta para um commit do OpenSSL no GitHub que detalha os problemas com o código: “corrigidos dois estouros de buffer nas funções de decodificação de código”. Um endereço de e-mail mal-intencionado validado com um certificado X.509 pode causar um estouro de bytes na pilha, levando a uma falha ou execução potencialmente remota de código, dependendo da plataforma e da configuração.

Mas essa vulnerabilidade afeta principalmente os clientes, não os servidores; portanto, é improvável que uma redefinição de segurança da Internet (e um absurdo) como o Heartbleed aconteça. Por exemplo, VPNs que usam OpenSSL 3.xe linguagens como Node.js podem ser afetadas. O especialista em segurança cibernética Kevin Beaumont aponta que a proteção contra estouro de pilha nas configurações padrão da maioria das distribuições do Linux deve impedir a execução do código.

O que mudou entre o anúncio crítico e o lançamento de alto nível? A equipe de segurança do OpenSSL escreve em seu blog que, após cerca de uma semana, as organizações testaram e forneceram feedback. Em algumas distribuições do Linux, um estouro de 4 bytes possível em um único ataque sobrescreveria um buffer adjacente que ainda não estava em uso e, portanto, não poderia travar o sistema ou causar a execução do código. Outra vulnerabilidade permitia a um invasor definir apenas a duração do estouro, mas não seu conteúdo.

Portanto, embora as falhas ainda sejam possíveis e algumas pilhas possam ser organizadas para permitir a execução remota de código, isso é improvável ou fácil, reduzindo a vulnerabilidade para “alta”. No entanto, os usuários de qualquer implementação do OpenSSL versão 3.x devem instalar o patch o mais rápido possível. E todos devem ficar atentos às atualizações de software e sistema operacional que podem corrigir esses problemas em vários subsistemas.

O serviço de monitoramento Datadog, em uma boa declaração do problema , observa que sua equipe de pesquisa de segurança foi capaz de falhar em uma implantação do Windows usando a versão OpenSSL 3.x como prova de conceito. E, embora seja improvável que as implantações do Linux sejam exploráveis, um “exploit criado para implantações do Linux” ainda pode surgir.

O Centro Nacional de Segurança Cibernética da Holanda (NCSL-NL) tem uma lista atual de softwares vulneráveis ​​à exploração do OpenSSL 3.x. Várias distribuições populares do Linux, plataformas de virtualização e outras ferramentas estão listadas como vulneráveis ​​ou sob investigação.