Güvenlik uzmanları, OpenSSL Proje ekibinin Salı günü yamaladığı, merakla beklenen iki güvenlik açığını, hızlı bir şekilde ele alınması gereken, ancak mutlaka başka her şeyi bırakma türünden bir acil durum müdahalesini hak etmeyen sorunlar olarak tanımladı.
Neredeyse her yerde kullanılan kriptografik kitaplığın 3.0.7 sürümünün yayınlanması, OpenSSL 3.0.0 ila 3.0.6 sürümlerinde bulunan iki arabellek taşması güvenlik açığını giderir.
Açıklamaya kadar güvenlik uzmanları, başlangıçta “kritik” bir uzaktan kod yürütme sorunu olarak nitelendirilen sorunlardan birinin Heartbleed düzeyinde, her şeyi kapsayan bir sorun sunabileceği konusunda uyarmışlardı. Neyse ki durum böyle değil gibi görünüyor – ve OpenSSL proje ekibi kusuru açıklarken karar verdiğini söyledi. tehdidi “yüksek” seviyeye düşürmek hatayı test eden ve analiz eden kuruluşların geri bildirimlerine dayanmaktadır.
Bir Çift Arabellek Taşması
İlk hata (CVE-2022-3602) gerçekten – belirli koşullar altında – RCE’yi etkinleştirebilir, bu da başlangıçta bazı güvenlik uzmanlarının kusurun endüstri çapında yankıları olabileceğinden endişe etmesine neden oldu. Ancak hafifletici koşullar olduğu ortaya çıktı: Birincisi, aşağıda açıklandığı gibi, istismar edilmesi zordur. Ayrıca, tüm sistemler etkilenmez.
Censys’te kıdemli güvenlik araştırmacısı Mark Ellzey’e göre, şu anda yalnızca Firefox ve Internet Explorer gibi OpenSSL 3.0.0 ila 3.0.6’yı destekleyen tarayıcılar etkileniyor; Özellikle etkilenmeyen, önde gelen İnternet tarayıcısı olan Google Chrome’dur.
“Saldırının karmaşıklığı ve nasıl gerçekleştirilebileceğine ilişkin sınırlamalar nedeniyle etkinin minimum olması bekleniyor” diyor. “Kuruluşlar kimlik avı eğitimlerini tazelemeli ve böyle bir saldırıya maruz kaldıklarında hazırlıklı olduklarından emin olmak için tehdit istihbarat kaynaklarına dikkat etmelidir.”
Başlatmak için, Cycode’da güvenlik araştırmacısı Alex Ilgayev, kusurun belirli Linux dağıtımlarında kullanılamayacağını belirtti; Ilgayev, birçok modern işletim sistemi platformunun bu tür tehditlere karşı her durumda hafifletmek için yığın taşması korumaları uyguladığını söylüyor.
İkinci güvenlik açığı (CVE-2022-3786Orijinal kusur için bir düzeltme geliştirilirken ortaya çıkarılan ), hizmet reddi (DoS) koşullarını tetiklemek için kullanılabilir. OpenSSL ekibi, güvenlik açığını yüksek önemde olarak değerlendirdi, ancak RCE istismarı için kullanılma olasılığını dışladı.
Her iki güvenlik açığı da adı verilen bir işleve bağlıdır. zayıf kod uluslararasılaştırılmış alan adlarını kodlamak için.
“OpenSSL 3.0.0 – 3.0.6 kullanıcıları mümkün olan en kısa sürede 3.0.7’ye yükseltmeye teşvik edilirOpenSSL ekibi, hata açıklaması ve kriptografik kitaplığın yeni sürümünün yayınlanmasına eşlik eden bir blogda şunları söyledi: “OpenSSL kopyanızı İşletim Sistemi satıcınızdan veya başka bir üçüncü taraftan alırsanız, güncellenmiş bir sürüm edinmeye çalışmalısınız. en kısa sürede onlardan.”
Başka Bir Kalp Kanaması Değil
Hata ifşası, OpenSSL ekibinin geçen hafta o sırada yaklaşan hata ifşasına ilişkin bildiriminin yol açtığı yaygın endişeyi – en azından şu an için – kesinlikle azaltacaktır. İlk kusurun özellikle “kritik” olarak tanımlanması, 2014’ün “Heartbleed” hatasıyla birkaç karşılaştırma yapılmasına neden oldu – OpenSSL’de kritik bir puan alan diğer tek hata. Bu hata (CVE-2014-0160), İnternet’in geniş bir alanını etkiledi ve şu anda bile birçok kuruluşta tam olarak ele alınmadı.
Synopsys Siber Güvenlik Araştırma Merkezi küresel araştırma başkanı Jonathan Knudsen, “Heartbleed, OpenSSL’nin savunmasız bir sürümünü kullanan herhangi bir yazılımda varsayılan olarak açığa çıktı ve saldırganlar tarafından sunucu belleğinde depolanan şifreleme anahtarlarını ve parolaları görmek için çok kolay bir şekilde istismar edilebilirdi” diyor. . “OpenSSL’de az önce bildirilen iki güvenlik açığı ciddi ancak aynı büyüklükte değil.”
OpenSSL Hatalarından Yararlanmak Zor…
Knudsen, yeni kusurlardan herhangi birini kullanmak için, güvenlik açığı bulunan sunucuların, norm olmayan istemci sertifikası kimlik doğrulaması istemesi gerektiğini söylüyor. Ve savunmasız istemcilerin, yaygın ve savunulabilir bir saldırı vektörü olan kötü niyetli bir sunucuya bağlanması gerektiğini söylüyor.
“Bu iki güvenlik açığı kimsenin umurunda olmamalı, ancak bunlar ciddi ve uygun hız ve özenle ele alınmalıdır” diye belirtiyor.
Bir blog gönderisinde, SANS İnternet Fırtına Merkezi bu arada OpenSSL güncellemesini şu şekilde tanımladı: sertifika doğrulama işlemi sırasında arabellek taşmasını düzeltme. Bir istismarın çalışması için, sertifikanın kötü niyetli bir Punycode kodlu ad içermesi gerekir ve güvenlik açığı yalnızca sertifika zinciri doğrulandıktan sonra tetiklenir.
SANS ISC, “Saldırganın öncelikle müşterinin güvendiği bir sertifika yetkilisi tarafından imzalanmış kötü amaçlı bir sertifikaya sahip olması gerekir” dedi. “Bu, sunuculara karşı kullanılabilir gibi görünmüyor. Sunucular için, sunucu istemciden bir sertifika isterse bu, kötüye kullanılabilir.”
Alt satır: Cycode’dan Ilgayev, güvenlik açığından yararlanmanın karmaşık olması ve onu tetiklemek için gereken akış ve gereksinimler olduğu için istismar olasılığının düşük olduğunu söylüyor. Ayrıca, OpenSSL’nin 3.0 öncesi sürümlerini kullananlara kıyasla nispeten az sayıda sistemi etkiler.
…Ama Çalışkan Olun
Aynı zamanda, geçmişte istismar edilmesi zor güvenlik açıklarından yararlanıldığını akılda tutmak önemlidir, diyor Ilgayev. NSO Group’un iOS’taki bir güvenlik açığı için geliştirdiği sıfır tıklamalı bir istismar geçen yıl.
“[Also]OpenSSL ekibinin dediği gibi, ‘her platform ve derleyici kombinasyonunun yığındaki arabellekleri nasıl düzenlediğini bilmenin bir yolu yoktur’ ve bu nedenle bazı platformlarda uzaktan kod yürütme hala mümkün olabilir” diye uyarıyor.
Ve gerçekten de Ellzey, OpenSSL ekibinin başlangıçta kritik olarak değerlendirdiği kusur olan CVE-2022-3602’yi saldırganların nasıl kullanabileceğine dair bir senaryo özetliyor.
“Bir saldırgan kötü niyetli bir sunucuyu barındırır ve potansiyel olarak geleneksel kimlik avı taktikleri yoluyla OpenSSL v3.x’e karşı savunmasız bir uygulamayla kurbanların kimliklerini doğrulamaya çalışır” diyor, ancak istismarın ağırlıklı olarak istemci olması nedeniyle kapsamı sınırlı olsa da. yan.
Ilgayev, bunun gibi güvenlik açıklarının, kullanılan her ikili dosya için bir yazılım malzeme listesine (SBOM) sahip olmanın önemini vurguladığını belirtiyor. “Bu kitaplık, sömürülebilirliği etkileyecek çeşitli konfigürasyonlarda bağlanıp derlenebileceğinden paket yöneticilerine bakmak yeterli değil” diyor.