![[Spooky SSL logo]](../../wp-content/uploads/2022/10/image-3-860x360.png)
Kritická zraniteľnosť v OpenSSL – aktualizované 1.11.2022
Národné centrum kybernetickej bezpečnosti SK-CERT upozorňuje, že na utorok 1.11.2022 o 14:00 (zimného času) ohlásili vývojári OpenSSL zverejnenie opravy kritickej bezpečnostnej zraniteľnosti.
Upozorňujeme na fakt, že detaily budú zverejnené počas nášho štátneho sviatku. Prevádzkovateľom základných služieb preto dôrazne odporúčame zabezpečiť pohotovosť potrebného personálu počas tohto sviatku, sledovať informácie o uvedenej kritickej zraniteľnosti a aplikovať bezpečnostné aktualizácie jednotlivých systémov ihneď, ako budú dostupné.
Aktualizácia 1.11.2022 o 17:10: informácie o zraniteľnostiach už boli publikované. V tomto článku ďalej rozoberáme dopady a mitigácie.
OpenSSL je knižnica, ktorá sa využíva na šifrovanú komunikáciu ako v klientských, tak aj serverových aplikáciách, či vo VPN produktoch (e-mailoví klienti a servery, webové prehliadače a webové servery, SSL VPN servery).
O zraniteľnostiach
Jedná sa o dve samostatné zraniteľnosti CVE-2022-3602 a CVE-2022-3786 v overovaní certifikátov. Zraniteľnosti dostali meno SpookySSL a tematické logo.
Zraniteľnosti je možné zneužiť podhodením špeciálne zostaveného X.509 certifikátu. K chybe dojde pri načítaní poľa s e-mailovou adresou. V prípade, že aplikácia overuje platnosť certifikátu, certifikát musí byť podpísaný platnou certifikačnou autoritou.
Keďže zraniteľnosti spôsobia pretečenie pamäti, majú potenciál spôsobiť vykonanie kódu a plné narušenie dôvernosti, integrity a dostupnosti. Úvodné analýzy OpenSSL tímu však naznačujú, že vzhľadom k implementačným detailom vo vybraných testovaných verziách knižnice nie je možné ich zneužiť na vykonanie kódu, len na odmietnutie služby – haváriu postihnutej aplikácie. Preto bola ich závažnosť znížená z KRITICKEJ na VYSOKÚ. Táto situácia sa však môže zmeniť.
Na zraniteľnosť už sú dostupné proof-of-concept certifikáty, ktorých použitie vedie k spadnutiu zraniteľnej aplikácie.
Zasiahnuté systémy
- Zasiahnuté sú knižnice OpenSSL vo verziách 3.0.0 až 3.0.6. Používatelia by mali aktualizovať na knižnicu vo verzii 3.0.7, ktorá obsahuje opravu predmetnej zraniteľnosti.
- Knižnice OpenSSL vo verziách 1.1.1 a 1.0.2 nie sú zasiahnuté.
- Zasiahnuté sú všetky aplikácie, ktoré predmetnú knižnicu v zraniteľných verziách používajú, vrátane VPN serverov a VPN klientov, webových prehliadačov, e-mailových klientov.
- Na hostiteľskom operačnom systéme, ktorý nie je zasiahnutý zraniteľnosťou, môžu byť zasiahnuté aj nasadené kontajnerizované aplikácie
Identifikácia zraniteľných verzií knižníc OpenSSL pomocou YARA pravidla:
rule openssl_version {
strings:
$re1 = /OpenSSL\s3\.[0-6]{1}\.[0-9]{1}[a-z]{,1}/
condition:
$re1
}
Odporúčania
- identifikovať a aktualizovať dotknuté systémy
- na ukončenie TLS a verifikáciu klientského certifikátu použiť webový aplikačný firewall s takou implementáciou TLS, ktorá nie je zraniteľná
- nepovoľovať načítavanie nedôveryhodných certifikátov
- implementovať sieťové logovanie TLS certifikátov
Zdroje
- https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ – blog autorov OpenSSL o zraniteľnosti
- https://www.openssl.org/news/secadv/20221101.txt – bezpečnostné varovanie od autorov OpenSSL
- https://isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What+will+be+Affected/29192/ (obsahuje predbežný zoznam zasiahnutých distribúcií)
- https://blogs.vmware.com/security/2022/11/vmware-response-to-cve-2022-3602-and-cve-2022-3786-vulnerabilities-in-openssl-3-0-x.html
https://mta.openssl.org/pipermail/openssl-announce/2022-Octobe/000238.html
« Späť na zoznam
