Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius.
Paskutinę 2022 m. spalio mėnesio savaitę „OpenSSL Project“ atskleidė du „OpenSSL“ bibliotekos spragas. Tiek CVE-2022-360, tiek CVE-2022-3786 buvo pažymėti kaip „didelio“ sunkumo problemos, kurių CVSS balas yra 8,8, ty tik 0,2 taško mažesnis nei tas, kurį reikėtų laikyti „kritiniu“.
Problema kyla dėl sertifikatų, kuriuos OpenSSL atlieka sertifikatu pagrįsto autentifikavimo, tikrinimo procese. Pažeidžiamumų išnaudojimas gali leisti užpuolikui pradėti paslaugų atsisakymo (DoS) ar net nuotolinio kodo vykdymo ataką. Dabar išleisti dviejų OpenSSL nuo 3.0.0 iki 3.06 trūkumų pataisymai.
Kas yra OpenSSL?
OpenSSL yra plačiai naudojama atvirojo kodo kriptografijos komandų eilutės priemonė, įdiegta siekiant užtikrinti saugų žiniatinklio srauto mainus tarp kliento ir serverio. Jis naudojamas viešiesiems ir privatiems raktams generuoti, SSL/TLS sertifikatams įdiegti, sertifikato informacijai patikrinti ir šifravimui užtikrinti.
Ši problema paaiškėjo 2022 m. spalio 17 d., kai „Polar Bear“ atskleidė du aukšto lygio pažeidžiamumus, rastus OpenSSL 3.0.0–3.0.6 versijose OpenSSL Project. Pažeidžiamumas yra CVE-2022-3602 ir CVE-2022-3786.
2022 m. spalio 25 d. internetą pasiekė žinia apie pažeidžiamumą. Markas Coxas, „Red Hat“ programinės įrangos inžinierius ir „Apache Software Foundation“ saugumo viceprezidentas, paskelbė naujieną tviteryje.
Kaip užpuolikas gali išnaudoti šias spragas?
Pažeidžiamumų pora CVE-2022-3602 ir CVE-2022-3786 yra linkusi į buferio perpildymo ataka Tai kibernetinė ataka, kurios metu piktnaudžiaujama serverio atminties turiniu, siekiant atskleisti vartotojo informaciją ir serverio privačius raktus arba atlikti nuotolinį kodo vykdymą.
CVE-2022-3602
Šis pažeidžiamumas leidžia užpuolikui pasinaudoti buferio viršijimu tikrinant X.509 sertifikatą tikrinant vardo apribojimus. Tai atsitinka po sertifikatų grandinės patikrinimo ir reikalauja CA parašo ant kenkėjiško sertifikato arba sertifikato patvirtinimo, kad būtų galima tęsti, nepaisant nepavykusio susiejimo su patikimu išdavėju.
Užpuolikas gali įtraukti sukčiavimo schema pvz., sukurti sukurtą el. pašto adresą, kad būtų galima perpildyti keturis baitus. Tai gali sukelti paslaugų atsisakymo (DoS) ataką, kurios metu paslauga tampa nepasiekiama po gedimo arba užpuolikas gali atlikti nuotolinį kodo vykdymą, o tai reiškia, kad programai valdyti nuotoliniu būdu paleidžiamas kodas serveris.
Šis pažeidžiamumas gali būti suaktyvintas, jei autentiškas TLS klientas prisijungia prie kenkėjiško serverio arba jei autentiškas TLS serveris prisijungia prie kenkėjiško kliento.
CVE-2022-3786
Šis pažeidžiamumas naudojamas kaip CVE-2022-3602. Vienintelis skirtumas yra tas, kad užpuolikas sukuria kenkėjišką el. pašto adresą, kad perpildytų savavališką skaičių baitų, kuriuose yra „. simbolis (46 dešimtainis skaičius). Tačiau CVE-2022-3602 išnaudojami tik keturi užpuoliko valdomi baitai.
Liūdnai pagarsėjęs „Heartbleed“ pažeidžiamumo prisiminimas
2016 m. panaši problema buvo aptikta OpenSSL, kuriai buvo suteiktas „Kritinis“ sunkumo įvertinimas. Tai buvo atminties tvarkymo klaida, leidžianti užpuolikams pažeisti slaptus raktus, slaptažodžius ir kitą slaptą informaciją pažeidžiamuose serveriuose. Liūdnai pagarsėjusi klaida žinoma kaip „Heartbleed“ (CVE-2014-0160) ir iki šios dienos manoma, kad daugiau nei 200 000 mašinų yra pažeidžiamos šios silpnybės.
Kas yra taisymas?
Šiuolaikiniame kibernetinio saugumo pasaulyje daugelis platformų diegia dėklo perpildymo apsaugą, kad apsaugotų užpuolikus. Tai užtikrina būtiną sušvelninimą nuo buferio perpildymo.
Tolesnis šių pažeidžiamumų mažinimas apima naujovinimą į naujausią išleistą OpenSSL versiją. Kadangi OpenSSL v3.0.0 į v3.0.6 yra pažeidžiama, rekomenduojama atnaujinti į OpenSSL v3.0.7. Tačiau jei naudojate OpenSSL v1.1.1 ir v1.0.2, galite ir toliau naudoti šias versijas, nes jos neturi įtakos pažeidžiamumų.
Dvi pažeidžiamumus sunku išnaudoti
Tikimybė, kad bus piktnaudžiaujama šiais pažeidžiamumais, yra maža, nes viena iš sąlygų yra netinkamai suformuotas sertifikatas, pasirašytas patikimos CA. Dėl nuolat didėjančio atakų kraštovaizdžio daugumoje šiuolaikinių sistemų būtina įdiegti integruotus saugos mechanizmus, kad būtų išvengta tokių atakų.
Kibernetinis saugumas yra būtinybė šiuolaikiniame pasaulyje, turint integruotus ir pažangius apsaugos mechanizmus, tokius pažeidžiamumus sunku išnaudoti. Dėl OpenSSL laiku išleistų saugos naujinimų jums nereikia jaudintis dėl šių spragų. Tiesiog imkitės būtinų priemonių, pvz., pataisykite sistemą ir įdiekite gerus saugos sluoksnius, ir galėsite saugiai naudoti OpenSSL.
