I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
Nell'ultima settimana di ottobre 2022, OpenSSL Project ha rivelato due vulnerabilità trovate nella libreria OpenSSL. Sia CVE-2022-360 che CVE-2022-3786 sono stati etichettati come problemi di gravità "Alta" con un punteggio CVSS di 8,8, solo 0,2 punti in meno rispetto a quello di cui avrebbero bisogno per essere considerati "Critici".
Il problema risiede nel processo di verifica dei certificati che OpenSSL esegue per l'autenticazione basata su certificato. Lo sfruttamento delle vulnerabilità potrebbe consentire a un utente malintenzionato di lanciare un attacco Denial of Service (DoS) o persino un attacco Remote Code Execution. Sono state ora rilasciate le patch per i due punti deboli riscontrati in OpenSSL dalla v3.0.0 alla v3.06.
Cos'è OpenSSL?
OpenSSL è un'utilità della riga di comando di crittografia open source ampiamente utilizzata implementata per mantenere sicuro lo scambio di traffico Web tra un client e un server. Viene utilizzato per generare chiavi pubbliche e private, installare certificati SSL/TLS, verificare le informazioni sui certificati e fornire la crittografia.
Il problema è venuto alla luce il 17 ottobre 2022 quando Polar Bear ha rivelato a OpenSSL Project due vulnerabilità di alto livello trovate in OpenSSL dalla versione 3.0.0 alla 3.0.6. Le vulnerabilità sono CVE-2022-3602 e CVE-2022-3786.
Il 25 ottobre 2022, la notizia delle vulnerabilità ha colpito Internet. Mark Cox, Red Hat Software Engineer e VP of Security di Apache Software Foundation, ha dato la notizia in un tweet.
In che modo un utente malintenzionato può sfruttare queste vulnerabilità?
La coppia di vulnerabilità CVE-2022-3602 e CVE-2022-3786 è soggetta a attacco di overflow del buffer che è un attacco informatico in cui i contenuti della memoria del server vengono abusati per rivelare informazioni sull'utente e chiavi private del server o eseguire l'esecuzione di codice in modalità remota.
CVE-2022-3602
Questa vulnerabilità consente a un utente malintenzionato di sfruttare il sovraccarico del buffer nella verifica del certificato X.509 nel controllo del vincolo del nome. Ciò si verifica dopo la verifica della catena di certificati e richiede una firma CA sul certificato dannoso o la verifica del certificato per continuare nonostante il mancato mapping a un emittente attendibile.
Un utente malintenzionato può incorporare uno schema di phishing come la creazione di un indirizzo e-mail fabbricato per sovraccaricare quattro byte nello stack. Ciò può comportare un attacco Denial-of-Service (DoS) in cui il servizio diventa non disponibile dopo l'arresto anomalo o l'attaccante può eseguire Remote Code Execution, il che significa che un codice viene eseguito in remoto per controllare l'applicazione server.
Questa vulnerabilità può essere attivata se un client TLS autentico si connette a un server dannoso o se un server TLS autentico si connette a un client dannoso.
CVE-2022-3786
Questa vulnerabilità viene sfruttata proprio come CVE-2022-3602. L'unica differenza è che un utente malintenzionato crea un indirizzo e-mail dannoso per superare un numero arbitrario di byte contenente il "." carattere (decimale 46). Tuttavia, in CVE-2022-3602, vengono sfruttati solo quattro byte controllati dall'attaccante.
Il famigerato flashback della vulnerabilità "Heartbleed".
Nel 2016, un problema simile è stato scoperto in OpenSSL a cui è stata assegnata una valutazione di gravità "Critica". Si trattava di un bug di gestione della memoria che consentiva agli aggressori di compromettere chiavi segrete, password e altre informazioni sensibili nei server vulnerabili. Il famigerato bug è noto come Heartbleed (CVE-2014-0160) e fino ad oggi, oltre 200.000 macchine sono ritenute vulnerabili a questa debolezza.
Qual è la soluzione?
Nel mondo odierno attento alla sicurezza informatica, molte piattaforme implementano protezioni contro l'overflow dello stack per tenere a bada gli aggressori. Ciò fornisce la mitigazione necessaria contro l'overflow del buffer.
Un'ulteriore mitigazione contro queste vulnerabilità comporta l'aggiornamento all'ultima versione rilasciata di OpenSSL. Poiché OpenSSL da v3.0.0 a v3.0.6 è vulnerabile, si consiglia di eseguire l'aggiornamento a OpenSSL v3.0.7. Tuttavia, se usi OpenSSL v1.1.1 e v1.0.2, puoi continuare a utilizzare queste versioni poiché non sono interessate dai due vulnerabilità.
Le due vulnerabilità sono difficili da sfruttare
Le possibilità che queste vulnerabilità vengano sfruttate sono basse perché una delle condizioni è un certificato non valido firmato da una CA attendibile. A causa del panorama degli attacchi in continua crescita, la maggior parte dei sistemi moderni si assicura di implementare meccanismi di sicurezza integrati per evitare questi tipi di attacchi.
La sicurezza informatica è una necessità nel mondo di oggi, con meccanismi di protezione integrati e avanzati, vulnerabilità come queste sono difficili da sfruttare. Grazie agli aggiornamenti di sicurezza rilasciati da OpenSSL nel tempo, non devi preoccuparti di queste vulnerabilità. Prendi semplicemente le misure necessarie come applicare patch al tuo sistema e implementare buoni livelli di sicurezza, e sei sicuro di usare OpenSSL.
