Kaltaisesi lukijat auttavat tukemaan MUO: ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion.
Lokakuun 2022 viimeisellä viikolla OpenSSL Project paljasti kaksi OpenSSL-kirjastosta löydettyä haavoittuvuutta. Sekä CVE-2022-360 että CVE-2022-3786 on merkitty "korkeiksi" vakaviksi ongelmiksi, ja CVSS-pistemäärä on 8,8, mikä on vain 0,2 pistettä alhaisempi kuin mitä niiden pitäisi pitää "kriittisinä".
Ongelma piilee varmenteiden varmistusprosessissa, jonka OpenSSL suorittaa varmenteisiin perustuvassa todennuksen yhteydessä. Haavoittuvuuksien hyödyntäminen voi antaa hyökkääjälle mahdollisuuden käynnistää palvelunestohyökkäyksen (DoS) tai jopa koodin etäsuoritushyökkäyksen. Korjaukset kahdelle OpenSSL v3.0.0 - v3.06 heikkoudelle on nyt julkaistu.
Mikä on OpenSSL?
OpenSSL on laajalti käytetty avoimen lähdekoodin salauskomentorivityökalu, joka on toteutettu suojaamaan verkkoliikenteen vaihtoa asiakkaan ja palvelimen välillä. Sitä käytetään julkisten ja yksityisten avainten luomiseen, SSL/TLS-varmenteiden asentamiseen, varmennetietojen tarkistamiseen ja salauksen tarjoamiseen.
Ongelma tuli ilmi 17. lokakuuta 2022, kun Polar Bear paljasti OpenSSL Projectille kaksi korkean tason haavoittuvuutta, jotka löytyivät OpenSSL-versioista 3.0.0–3.0.6. Haavoittuvuudet ovat CVE-2022-3602 ja CVE-2022-3786.
25. lokakuuta 2022 uutiset haavoittuvuuksista saapuivat Internetiin. Mark Cox, Red Hat -ohjelmistosuunnittelija ja Apache Software Foundationin turvallisuusjohtaja, kertoivat uutisen twiitissä.
Kuinka hyökkääjä voi hyödyntää näitä haavoittuvuuksia?
Haavoittuvuudet CVE-2022-3602 ja CVE-2022-3786 ovat alttiita puskurin ylivuotohyökkäys joka on kyberhyökkäys, jossa palvelimen muistin sisältöä käytetään väärin paljastamaan käyttäjätietoja ja palvelimen yksityisiä avaimia tai suorittamaan koodia etänä.
CVE-2022-3602
Tämän haavoittuvuuden ansiosta hyökkääjä voi hyödyntää puskurin ylivuotoa X.509-varmenteen tarkistuksessa nimirajoitusten tarkistuksessa. Tämä tapahtuu varmenneketjun tarkistuksen jälkeen ja vaatii CA-allekirjoituksen haitallisessa varmenteessa tai varmenteen vahvistuksen jatkamiseksi, vaikka luotettuun myöntäjään ei saada yhteyttä.
Hyökkääjä voi sisällyttää phishing-järjestelmä kuten luomalla tekosähköpostiosoite, joka täyttää pinossa neljä tavua. Tämä voi johtaa palvelunestohyökkäykseen (DoS), jossa palvelu ei ole käytettävissä kaatumisen jälkeen, tai hyökkääjä voi suorittaa koodin etäsuorittamisen, mikä tarkoittaa, että koodia ajetaan etänä sovelluksen ohjaamiseksi palvelin.
Tämä haavoittuvuus voidaan laukaista, jos aito TLS-asiakas muodostaa yhteyden haitalliseen palvelimeen tai jos aito TLS-palvelin muodostaa yhteyden haitalliseen asiakasohjelmaan.
CVE-2022-3786
Tätä haavoittuvuutta hyödynnetään aivan kuten CVE-2022-3602. Ainoa ero on se, että hyökkääjä luo haitallisen sähköpostiosoitteen ylittääkseen mielivaltaisen määrän "." merkki (desimaali 46). Kuitenkin CVE-2022-3602:ssa vain neljää hyökkääjän hallitsemaa tavua hyödynnetään.
Pahamaineinen "Heartbleed"-haavoittuvuus Flashback
Vuonna 2016 OpenSSL: stä löydettiin samanlainen ongelma, jolle annettiin "kriittinen" vakavuusluokitus. Tämä oli muistinkäsittelyvirhe, jonka ansiosta hyökkääjät saattoivat vaarantaa haavoittuvien palvelimien salaisia avaimia, salasanoja ja muita arkaluonteisia tietoja. Pahamaineinen bugi tunnetaan nimellä Heartbleed (CVE-2014-0160) ja tähän päivään mennessä yli 200 000 konetta katsotaan alttiiksi tälle heikkoudelle.
Mikä on korjaus?
Nykypäivän kyberturvallisuustietoisessa maailmassa monet alustat ottavat käyttöön pinon ylivuotosuojauksen pitääkseen hyökkääjät loitolla. Tämä tarjoaa tarvittavan lievennyksen puskurin ylivuotoa vastaan.
Lisäksi näitä haavoittuvuuksia voidaan lieventää päivittämällä uusimpaan OpenSSL-versioon. Koska OpenSSL v3.0.0 v3.0.6 on haavoittuvainen, on suositeltavaa päivittää OpenSSL v3.0.7:ään. Jos kuitenkin käytät OpenSSL v1.1.1 ja v1.0.2, voit jatkaa näiden versioiden käyttöä, koska ne eivät vaikuta niihin haavoittuvuuksia.
Näitä kahta haavoittuvuutta on vaikea hyödyntää
Todennäköisyys, että näitä haavoittuvuuksia käytetään väärin, on pieni, koska yksi ehdoista on väärin muotoiltu luotettavan varmentajan allekirjoittama varmenne. Yhä lisääntyvän hyökkäysmaiseman vuoksi useimmat nykyaikaiset järjestelmät varmistavat, että ne käyttävät sisäänrakennettuja suojamekanismeja tämäntyyppisten hyökkäysten välttämiseksi.
Kyberturvallisuus on välttämättömyys nykymaailmassa, sillä sisäänrakennettujen ja kehittyneiden suojausmekanismien ansiosta tällaisia haavoittuvuuksia on vaikea hyödyntää. OpenSSL: n ajoissa julkaisemien tietoturvapäivitysten ansiosta sinun ei tarvitse huolehtia näistä haavoittuvuuksista. Suorita vain tarpeelliset toimenpiteet, kuten järjestelmän korjaus ja hyvien suojauskerrosten käyttöönotto, ja olet turvassa käyttää OpenSSL: ää.
