Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti.
V posledním říjnovém týdnu 2022 odhalil OpenSSL Project dvě zranitelnosti nalezené v knihovně OpenSSL. Jak CVE-2022-360, tak CVE-2022-3786 byly označeny jako „Vysoce“ závažné problémy se skóre CVSS 8,8, pouze o 0,2 bodu méně, než by bylo nutné považovat za „kritické“.
Problém spočívá v procesu ověřování certifikátů, který OpenSSL provádí pro autentizaci založenou na certifikátech. Zneužití těchto zranitelností by mohlo útočníkovi umožnit zahájit útok typu Denial of Service (DoS) nebo dokonce útok Remote Code Execution. Nyní byly vydány opravy dvou slabých stránek nalezených v OpenSSL v3.0.0 až v3.06.
Co je OpenSSL?
OpenSSL je široce používaný nástroj příkazového řádku pro kryptografii s otevřeným zdrojovým kódem implementovaný pro zabezpečení výměny webového provozu mezi klientem a serverem. Používá se ke generování veřejných a soukromých klíčů, instalaci certifikátů SSL/TLS, ověřování informací o certifikátech a poskytování šifrování.
Problém vyšel najevo 17. října 2022, kdy Polar Bear odhalil dvě zranitelnosti na vysoké úrovni nalezené v OpenSSL verze 3.0.0 až 3.0.6 pro projekt OpenSSL. Chyby zabezpečení jsou CVE-2022-3602 a CVE-2022-3786.
25. října 2022 se na internet objevily zprávy o zranitelnostech. Mark Cox, softwarový inženýr společnosti Red Hat a viceprezident pro bezpečnost nadace Apache Software Foundation tuto zprávu uvedl ve svém tweetu.
Jak může útočník zneužít tyto zranitelnosti?
Dvojice zranitelností CVE-2022-3602 a CVE-2022-3786 je náchylná k útok přetečením vyrovnávací paměti což je kybernetický útok, při kterém je obsah paměti serveru zneužit k odhalení uživatelských informací a soukromých klíčů serveru nebo ke vzdálenému spuštění kódu.
CVE-2022-3602
Tato chyba zabezpečení umožňuje útočníkovi využít přetečení vyrovnávací paměti při ověřování certifikátu X.509 při kontrole omezení názvů. K tomu dochází po ověření řetězce certifikátů a vyžaduje podpis CA na škodlivém certifikátu nebo ověření certifikátu, aby pokračovalo i přes selhání mapování na důvěryhodného vydavatele.
Útočník se může začlenit phishingové schéma jako je vytvoření vymyšlené e-mailové adresy pro přetečení čtyř bajtů v zásobníku. To může vést k útoku DoS (Denial-of-Service), při kterém se služba po zhroucení stane nedostupnou, popř. útočník může provést vzdálené spouštění kódu, což znamená, že je vzdáleně spuštěn kód pro ovládání aplikace server.
Tuto chybu zabezpečení lze spustit, pokud se autentický klient TLS připojí ke škodlivému serveru nebo pokud se autentický server TLS připojí ke škodlivému klientovi.
CVE-2022-3786
Tato chyba zabezpečení je zneužita stejně jako CVE-2022-3602. Jediný rozdíl je v tom, že útočník vytvoří škodlivou e-mailovou adresu, aby přeplnil libovolný počet bajtů obsahujících „.“ znak (desetinně 46). V CVE-2022-3602 jsou však zneužity pouze čtyři bajty ovládané útočníkem.
Notoricky známý Flashback zranitelnosti „Heartbleed“.
V roce 2016 byl v OpenSSL objeven podobný problém, kterému bylo uděleno hodnocení závažnosti „Kritické“. Jednalo se o chybu manipulace s pamětí, která útočníkům umožňovala kompromitovat tajné klíče, hesla a další citlivé informace na zranitelných serverech. Nechvalně známá chyba je známá jako Heartbleed (CVE-2014-0160) a do dnešního dne je více než 200 000 strojů považováno za zranitelných vůči této slabosti.
Co je oprava?
V dnešním světě zaměřeném na kybernetickou bezpečnost mnoho platforem implementuje ochranu proti přetečení zásobníku, aby udržely útočníky na uzdě. To poskytuje potřebné zmírnění proti přetečení vyrovnávací paměti.
Další zmírnění těchto chyb zabezpečení zahrnuje upgrade na nejnovější vydanou verzi OpenSSL. Protože OpenSSL v3.0.0 až v3.0.6 je zranitelný, doporučuje se upgradovat na OpenSSL v3.0.7. Pokud však použijete OpenSSL v1.1.1 a v1.0.2, můžete nadále používat tyto verze, protože nejsou ovlivněny těmito dvěma zranitelnosti.
Tyto dvě zranitelnosti je těžké zneužít
Pravděpodobnost zneužití těchto zranitelností je nízká, protože jednou z podmínek je chybný certifikát podepsaný důvěryhodnou CA. Vzhledem k neustále rostoucímu rozsahu útoků většina moderních systémů zajišťuje implementaci vestavěných bezpečnostních mechanismů, aby se těmto typům útoků vyhnula.
Kybernetická bezpečnost je v dnešním světě nutností, s vestavěnými a pokročilými ochrannými mechanismy je obtížné zneužít zranitelnosti, jako je tato. Díky aktualizacím zabezpečení vydaným OpenSSL včas se těchto zranitelností nemusíte obávat. Stačí provést nezbytná opatření, jako je záplata systému a implementace dobrých vrstev zabezpečení, a můžete bezpečně používat OpenSSL.