Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu.
V posledný októbrový týždeň 2022 projekt OpenSSL odhalil dve zraniteľnosti nájdené v knižnici OpenSSL. CVE-2022-360 aj CVE-2022-3786 boli označené ako „vysoké“ problémy so skóre CVSS 8,8, čo je len o 0,2 bodu nižšie, ako by bolo potrebné považovať za „kritické“.
Problém spočíva v procese overovania certifikátov, ktorý OpenSSL vykonáva na overenie založené na certifikátoch. Zneužitie týchto zraniteľností by mohlo útočníkovi umožniť spustiť odmietnutie služby (DoS) alebo dokonca útok na spustenie vzdialeného kódu. Opravy dvoch slabých stránok nájdených v OpenSSL v3.0.0 až v3.06 boli teraz vydané.
Čo je OpenSSL?
OpenSSL je široko používaná pomôcka príkazového riadka pre kryptografiu s otvoreným zdrojovým kódom implementovaná na zabezpečenie výmeny webovej prevádzky medzi klientom a serverom. Používa sa na generovanie verejných a súkromných kľúčov, inštaláciu certifikátov SSL/TLS, overovanie informácií o certifikátoch a poskytovanie šifrovania.
Problém vyšiel najavo 17. októbra 2022, keď Polar Bear odhalil dve zraniteľnosti vysokej úrovne nájdené v OpenSSL verzie 3.0.0 až 3.0.6 pre projekt OpenSSL. Chyby zabezpečenia sú CVE-2022-3602 a CVE-2022-3786.
25. októbra 2022 sa na internet dostali správy o zraniteľnostiach. Mark Cox, softvérový inžinier spoločnosti Red Hat a viceprezident pre bezpečnosť nadácie Apache Software Foundation túto správu oznámil prostredníctvom tweetu.
Ako môže útočník zneužiť tieto zraniteľnosti?
Dvojica zraniteľností CVE-2022-3602 a CVE-2022-3786 je náchylná na buffer overflow útok čo je kybernetický útok, pri ktorom sa obsah pamäte servera zneužije na odhalenie informácií o používateľovi a súkromných kľúčov servera alebo na vykonanie vzdialeného spustenia kódu.
CVE-2022-3602
Táto chyba zabezpečenia umožňuje útočníkovi využiť výhodu pretečenia vyrovnávacej pamäte pri overovaní certifikátu X.509 pri kontrole obmedzenia názvu. Stáva sa to po overení reťazca certifikátov a vyžaduje si podpis CA na škodlivom certifikáte alebo overení certifikátu, aby pokračovalo napriek zlyhaniu pri priraďovaní k dôveryhodnému vydavateľovi.
Útočník sa môže začleniť phishingová schéma ako je vytvorenie vymyslenej e-mailovej adresy na preplnenie štyroch bajtov v zásobníku. Výsledkom môže byť útok DoS (Denial-of-Service), pri ktorom sa služba po zrútení stane nedostupnou, resp. útočník môže vykonať vzdialené spustenie kódu, čo znamená, že sa na diaľku spustí kód na ovládanie aplikácie server.
Táto chyba zabezpečenia sa môže spustiť, ak sa autentický klient TLS pripojí k škodlivému serveru alebo ak sa autentický server TLS pripojí k škodlivému klientovi.
CVE-2022-3786
Táto chyba zabezpečenia sa zneužíva rovnako ako CVE-2022-3602. Jediný rozdiel je v tom, že útočník vytvorí škodlivú e-mailovú adresu, aby preplnil ľubovoľný počet bajtov obsahujúcich „.“ znak (desatinné 46). V CVE-2022-3602 sa však využívajú iba štyri bajty kontrolované útočníkom.
Notoricky známy flashback zraniteľnosti „Heartbleed“.
V roku 2016 bol podobný problém objavený v OpenSSL, ktorý dostal hodnotenie závažnosti „Kritický“. Išlo o chybu pri manipulácii s pamäťou, ktorá umožnila útočníkom kompromitovať tajné kľúče, heslá a ďalšie citlivé informácie na zraniteľných serveroch. Neslávne známa chyba je známa ako Heartbleed (CVE-2014-0160) a k dnešnému dňu sa viac ako 200 000 strojov považuje za zraniteľných voči tejto slabosti.
Čo je oprava?
V dnešnom svete, ktorý si uvedomuje kybernetickú bezpečnosť, mnohé platformy implementujú ochranu pred pretečením zásobníka, aby udržali útočníkov na uzde. To poskytuje potrebné zmiernenie proti pretečeniu vyrovnávacej pamäte.
Ďalšie zmiernenie týchto zraniteľností zahŕňa inováciu na najnovšiu vydanú verziu OpenSSL. Keďže OpenSSL v3.0.0 až v3.0.6 je zraniteľný, odporúča sa inovovať na OpenSSL v3.0.7. Ak však použijete OpenSSL v1.1.1 a v1.0.2, môžete naďalej používať tieto verzie, pretože nie sú ovplyvnené týmito dvoma zraniteľnosti.
Dve zraniteľné miesta je ťažké zneužiť
Šanca na zneužitie týchto zraniteľností je nízka, pretože jednou z podmienok je chybný certifikát podpísaný dôveryhodnou CA. Vzhľadom na neustále rastúci rozsah útokov väčšina moderných systémov zabezpečuje implementáciu vstavaných bezpečnostných mechanizmov, aby sa zabránilo týmto typom útokov.
Kybernetická bezpečnosť je v dnešnom svete nevyhnutnosťou, pretože so vstavanými a pokročilými ochrannými mechanizmami je ťažké zneužiť takéto zraniteľnosti. Vďaka bezpečnostným aktualizáciám vydaným OpenSSL včas sa nemusíte obávať týchto zraniteľností. Stačí prijať potrebné opatrenia, ako je oprava vášho systému a implementácia dobrých vrstiev zabezpečenia, a môžete bezpečne používať OpenSSL.