Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission.
I den sidste uge af oktober 2022 afslørede OpenSSL Project to sårbarheder fundet i OpenSSL-biblioteket. Både CVE-2022-360 og CVE-2022-3786 er blevet mærket med "Høj" alvorlighedsproblemer med en CVSS-score på 8,8, kun 0,2 point lavere end, hvad de skal bruge for at blive betragtet som "Kritisk".
Problemet ligger i verifikationsprocessen af certifikater, som OpenSSL udfører til certifikatbaseret godkendelse. Udnyttelsen af sårbarhederne kan give en angriber mulighed for at starte et Denial of Service (DoS) eller endda et Remote Code Execution-angreb. Patches til de to svagheder fundet i OpenSSL v3.0.0 til v3.06 er nu blevet frigivet.
Hvad er OpenSSL?
OpenSSL er et udbredt open source-kryptering-kommandolinjeværktøj, der er implementeret til at holde webtrafikudvekslingen mellem en klient og server sikker. Det bruges til at generere offentlige og private nøgler, installere SSL/TLS-certifikater, verificere certifikatoplysninger og give kryptering.
Problemet kom frem den 17. oktober 2022, da Polar Bear afslørede to sårbarheder på højt niveau fundet i OpenSSL version 3.0.0 til 3.0.6 til OpenSSL Project. Sårbarhederne er CVE-2022-3602 & CVE-2022-3786.
Den 25. oktober 2022 ramte nyheden om sårbarhederne internettet. Mark Cox, en Red Hat Software Engineer og Apache Software Foundation VP of Security brød nyheden i et tweet.
Hvordan kan en angriber udnytte disse sårbarheder?
Parret af sårbarheder CVE-2022-3602 og CVE-2022-3786 er tilbøjelige til at bufferoverløbsangreb som er et cyberangreb, hvor indholdet af serverhukommelsen misbruges til at afsløre brugeroplysninger og serverens private nøgler eller udføre fjernudførelse af kode.
CVE-2022-3602
Denne sårbarhed gør det muligt for en hacker at drage fordel af bufferoverskridelse i X.509-certifikatbekræftelse ved kontrol af navnebegrænsninger. Dette sker efter certifikatkædeverifikation og kræver en CA-signatur på det skadelige certifikat eller certifikatbekræftelse for at fortsætte på trods af manglende tilknytning til en betroet udsteder.
En angriber kan inkorporere en phishing-ordning såsom at oprette en fabrikeret e-mail-adresse for at overfylde fire bytes på stakken. Dette kan resultere i et Denial-of-Service (DoS) angreb, hvor tjenesten bliver utilgængelig efter nedbrud, eller angriberen kan udføre Remote Code Execution, hvilket betyder, at en kode fjernkøres for at styre applikationen server.
Denne sårbarhed kan udløses, hvis en autentisk TLS-klient opretter forbindelse til en ondsindet server, eller hvis en autentisk TLS-server opretter forbindelse til en ondsindet klient.
CVE-2022-3786
Denne sårbarhed udnyttes ligesom CVE-2022-3602. Den eneste forskel er, at en angriber opretter en ondsindet e-mailadresse for at overløbe et vilkårligt antal bytes, der indeholder "." tegn (decimal 46). I CVE-2022-3602 er det dog kun fire bytes, der er styret af angriberen, der udnyttes.
Den berygtede "Heartbleed"-sårbarhed flashback
Tilbage i 2016 blev et lignende problem opdaget i OpenSSL, som fik en "Kritisk" sværhedsgrad. Dette var en hukommelseshåndteringsfejl, der gjorde det muligt for angribere at kompromittere hemmelige nøgler, adgangskoder og andre følsomme oplysninger på sårbare servere. Den berygtede fejl er kendt som Heartbleed (CVE-2014-0160) og den dag i dag anses over 200.000 maskiner for at være sårbare over for denne svaghed.
Hvad er rettelsen?
I nutidens cybersikkerhedsbevidste verden implementerer mange platforme stack overflow-beskyttelse for at holde angribere på afstand. Dette giver nødvendig afbødning mod bufferoverløb.
Yderligere afhjælpning af disse sårbarheder involverer opgradering til den seneste udgivne version af OpenSSL. Da OpenSSL v3.0.0 til v3.0.6 er sårbar, anbefales det, at du opgraderer til OpenSSL v3.0.7. Men hvis du bruger OpenSSL v1.1.1 og v1.0.2, kan du fortsætte med at bruge disse versioner, da de ikke er påvirket af de to sårbarheder.
De to sårbarheder er svære at udnytte
Sandsynligheden for, at disse sårbarheder bliver misbrugt, er lav, fordi en af betingelserne er et forkert udformet certifikat, der er underskrevet af en betroet CA. På grund af det stadigt stigende angrebslandskab sørger de fleste moderne systemer for at implementere indbyggede sikkerhedsmekanismer for at undgå disse typer angreb.
Cybersikkerhed er en nødvendighed i dagens verden, med indbyggede og avancerede beskyttelsesmekanismer er sårbarheder som disse svære at udnytte. Takket være sikkerhedsopdateringerne frigivet af OpenSSL i tide, behøver du ikke bekymre dig om disse sårbarheder. Bare tag de nødvendige foranstaltninger som at patche dit system og implementere gode sikkerhedslag, og du er sikker på at bruge OpenSSL.
