Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon.

I den siste uken av oktober 2022 avslørte OpenSSL Project to sårbarheter funnet i OpenSSL-biblioteket. Både CVE-2022-360 og CVE-2022-3786 har blitt merket som "Høy" alvorlighetsproblemer med en CVSS-poengsum på 8,8, bare 0,2 poeng lavere enn det de trenger for å bli ansett som "kritisk".

Problemet ligger i verifiseringsprosessen av sertifikater som OpenSSL utfører for sertifikatbasert autentisering. Utnyttelsen av sårbarhetene kan tillate en angriper å starte et Denial of Service (DoS) eller til og med et eksternt kodeutførelsesangrep. Patcher for de to svakhetene som finnes i OpenSSL v3.0.0 til v3.06 er nå utgitt.

Hva er OpenSSL?

OpenSSL er et mye brukt åpen kildekode-kryptografi-kommandolinjeverktøy implementert for å sikre nettrafikkutvekslingen mellom en klient og server. Den brukes til å generere offentlige og private nøkler, installere SSL/TLS-sertifikater, bekrefte sertifikatinformasjon og gi kryptering.

Problemet kom opp 17. oktober 2022 da Isbjørn avslørte to sårbarheter på høyt nivå funnet i OpenSSL versjon 3.0.0 til 3.0.6 til OpenSSL Project. Sårbarhetene er CVE-2022-3602 og CVE-2022-3786.

25. oktober 2022 kom nyhetene om sårbarhetene på internett. Mark Cox, en Red Hat Software Engineer og Apache Software Foundation VP of Security fortalte nyheten i en tweet.

Hvordan kan en angriper utnytte disse sårbarhetene?

Paret med sårbarheter CVE-2022-3602 og CVE-2022-3786 er utsatt for bufferoverløpsangrep som er et cyberangrep der serverminneinnhold misbrukes til å avsløre brukerinformasjon og server private nøkler eller utføre ekstern kjøring av kode.

CVE-2022-3602

Dette sikkerhetsproblemet lar en angriper dra fordel av bufferoverskridelse i X.509-sertifikatverifisering i kontroll av navnebegrensninger. Dette skjer etter sertifikatkjedeverifisering og krever en CA-signatur på det skadelige sertifikatet eller sertifikatverifiseringen for å fortsette til tross for manglende tilordning til en klarert utsteder.

En angriper kan innlemme et phishing-opplegg for eksempel å lage en fabrikert e-postadresse for å flyte over fire byte på stabelen. Dette kan resultere i et Denial-of-Service (DoS)-angrep der tjenesten blir utilgjengelig etter krasj, eller angriperen kan utføre Remote Code Execution, som betyr at en kode kjøres eksternt for å kontrollere applikasjonen server.

Dette sikkerhetsproblemet kan utløses hvis en autentisk TLS-klient kobler til en ondsinnet server eller hvis en autentisk TLS-server kobles til en ondsinnet klient.

CVE-2022-3786

Dette sikkerhetsproblemet utnyttes akkurat som CVE-2022-3602. Den eneste forskjellen er at en angriper oppretter en ondsinnet e-postadresse for å flyte over et vilkårlig antall byte som inneholder "." tegn (desimal 46). I CVE-2022-3602 blir imidlertid bare fire byte kontrollert av angriperen utnyttet.

Den beryktede "Heartbleed"-sårbarheten tilbakeblikk

Tilbake i 2016 ble et lignende problem oppdaget i OpenSSL som ble gitt en "kritisk" alvorlighetsgrad. Dette var en minnehåndteringsfeil som tillot angripere å kompromittere hemmelige nøkler, passord og annen sensitiv informasjon på sårbare servere. Den beryktede feilen er kjent som Heartbleed (CVE-2014-0160) og til i dag er over 200 000 maskiner ansett som sårbare for denne svakheten.

Hva er løsningen?

I dagens cybersikkerhetsbevisste verden implementerer mange plattformer stabeloverløpsbeskyttelse for å holde angripere i sjakk. Dette gir nødvendig avbøtende mot bufferoverløp.

Ytterligere avbøtende tiltak mot disse sårbarhetene innebærer å oppgradere til den siste utgitte versjonen av OpenSSL. Siden OpenSSL v3.0.0 til v3.0.6 er sårbar, anbefales det at du oppgraderer til OpenSSL v3.0.7. Men hvis du bruker OpenSSL v1.1.1 og v1.0.2, kan du fortsette å bruke disse versjonene siden de ikke påvirkes av de to sårbarheter.

De to sårbarhetene er vanskelige å utnytte

Sjansen for at disse sårbarhetene blir misbrukt er liten fordi en av betingelsene er et misformet sertifikat signert av en klarert CA. På grunn av det stadig økende angrepslandskapet sørger de fleste moderne systemer for å implementere innebygde sikkerhetsmekanismer for å unngå denne typen angrep.

Cybersikkerhet er en nødvendighet i dagens verden, med innebygde og avanserte beskyttelsesmekanismer er sårbarheter som disse vanskelige å utnytte. Takket være sikkerhetsoppdateringene utgitt av OpenSSL i tide, trenger du ikke å bekymre deg for disse sårbarhetene. Bare ta nødvendige tiltak som å lappe systemet ditt og implementere gode lag med sikkerhet, og du er trygg på å bruke OpenSSL.