Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu.

2022. aasta oktoobri viimasel nädalal paljastas OpenSSL Project kaks OpenSSL-i teegist leitud turvaauku. Nii CVE-2022-360 kui ka CVE-2022-3786 on märgistatud "Kõrge" raskusastmega probleemidega, mille CVSS-i skoor on 8,8, mis on vaid 0,2 punkti madalam kui see, mida oleks vaja pidada "kriitiliseks".

Probleem seisneb sertifikaatide kontrollimise protsessis, mida OpenSSL teostab sertifikaadipõhise autentimise jaoks. Turvaaukude ärakasutamine võib võimaldada ründajal käivitada teenuse keelamise (DoS) või isegi koodi kaugkäitamise rünnaku. Nüüd on välja antud OpenSSL v3.0.0 kuni v3.06 kahe nõrkuse paigad.

Mis on OpenSSL?

OpenSSL on laialdaselt kasutatav avatud lähtekoodiga krüptograafia käsurea utiliit, mis on loodud kliendi ja serveri vahelise veebiliikluse vahetuse turvaliseks hoidmiseks. Seda kasutatakse avalike ja privaatvõtmete genereerimiseks, SSL/TLS-sertifikaatide installimiseks, sertifikaadi teabe kontrollimiseks ja krüptimiseks.

Probleem ilmnes 17. oktoobril 2022, kui Polar Bear avalikustas OpenSSL projekti kaks kõrgetasemelist haavatavust, mis leiti OpenSSL-i versioonides 3.0.0 kuni 3.0.6. Turvaaugud on CVE-2022-3602 ja CVE-2022-3786.

25. oktoobril 2022 jõudis internetti uudis turvaaukude kohta. Mark Cox, Red Hati tarkvarainsener ja Apache Software Foundationi turvalisuse asepresident, vahendasid uudist säutsus.

Kuidas saab ründaja neid turvaauke ära kasutada?

Paar haavatavused CVE-2022-3602 ja CVE-2022-3786 on altid puhvri ülevoolu rünnak mis on küberrünnak, mille käigus kuritarvitatakse serveri mälu sisu kasutajateabe ja serveri privaatvõtmete avaldamiseks või koodi kaugkäitamiseks.

CVE-2022-3602

See haavatavus võimaldab ründajal kasutada ära puhvri ületamist X.509 sertifikaadi kontrollimisel nimepiirangute kontrollimisel. See juhtub pärast sertifikaadiahela kontrollimist ja nõuab, et pahatahtlikul sertifikaadil oleks CA-allkiri või sertifikaadi kontrollimine jätkuks hoolimata ebaõnnestumisest usaldusväärse väljaandjaga.

Ründaja võib kaasata andmepüügiskeem näiteks väljamõeldud e-posti aadressi loomine, et virna neli baiti ületada. Selle tulemuseks võib olla teenuse keelamise (DoS) rünnak, kus teenus muutub pärast kokkujooksmist kättesaamatuks või ründaja saab teostada koodi kaugtäitmist, mis tähendab, et rakenduse juhtimiseks käivitatakse koodi kaugjuhtimisega server.

See haavatavus võib käivituda, kui autentne TLS-klient loob ühenduse pahatahtliku serveriga või kui autentne TLS-server loob ühenduse pahatahtliku kliendiga.

CVE-2022-3786

Seda haavatavust kasutatakse ära täpselt nagu CVE-2022-3602. Ainus erinevus seisneb selles, et ründaja loob pahatahtliku e-posti aadressi, et ületada suvalise arvu baite, mis sisaldavad "." märk (koma 46). Kuid CVE-2022-3602-s kasutatakse ainult nelja ründaja juhitavat baiti.

Kurikuulsa "Heartbleedi" haavatavuse tagasivaade

2016. aastal avastati sarnane probleem OpenSSL-is, millele anti raskusaste "Kriitiline". See oli mälukäsitluse viga, mis võimaldas ründajatel ohustada haavatavates serverites salajasi võtmeid, paroole ja muud tundlikku teavet. Kurikuulus viga on tuntud kui Heartbleed (CVE-2014-0160) ja tänaseni peetakse selle nõrkuse suhtes haavatavaks üle 200 000 masina.

Mis on lahendus?

Tänapäeva küberturbeteadlikus maailmas rakendavad paljud platvormid virna ületäitumise kaitset, et hoida ründajad eemal. See tagab vajaliku leevendamise puhvri ülevoolu vastu.

Nende haavatavuste edasine leevendamine hõlmab OpenSSL-i uusimale välja antud versioonile üleminekut. Kuna OpenSSL v3.0.0 versioon 3.0.6 on haavatav, on soovitatav minna üle versioonile OpenSSL v3.0.7. Kui aga kasutate OpenSSL v1.1.1 ja v1.0.2, võite jätkata nende versioonide kasutamist, kuna need kaks neid ei mõjuta haavatavused.

Neid kahte haavatavust on raske ära kasutada

Nende haavatavuste kuritarvitamise tõenäosus on väike, kuna üheks tingimuseks on usaldusväärse CA allkirjastatud valesti vormindatud sertifikaat. Pidevalt suureneva ründemaastiku tõttu rakendavad enamik kaasaegseid süsteeme seda tüüpi rünnakute vältimiseks kindlasti sisseehitatud turvamehhanisme.

Küberturvalisus on tänapäeva maailmas hädavajalik, kuna sisseehitatud ja täiustatud kaitsemehhanismidega on selliseid haavatavusi raske ära kasutada. Tänu OpenSSL-i õigeaegselt välja antud turvavärskendustele ei pea te nende haavatavuste pärast muretsema. Võtke lihtsalt vajalikud meetmed, nagu oma süsteemi parandamine ja heade turvakihtide rakendamine, ning saate OpenSSL-i kasutada ohutult.