viernes, 4 de noviembre de 2022

OpenSSL LANZA UN PARCHE PARA 2 NUEVAS VULNERABILIDADES DE ALTA GRAVEDAD

El proyecto OpenSSL ha implementado correcciones para contener dos fallas de alta gravedad en su biblioteca de criptografía ampliamente utilizada que podrían resultar en una denegación de servicio (DoS) y la ejecución remota de código.




Los problemas, rastreados como CVE-2022-3602 y CVE-2022-3786, se han descrito como vulnerabilidades de desbordamiento de búfer que pueden desencadenarse durante la verificación del certificado X.509 proporcionando una dirección de correo electrónico especialmente diseñada.

"En un cliente TLS, esto se puede activar conectándose a un servidor malicioso", dijo OpenSSL en un aviso para CVE-2022-3786. "En un servidor TLS, esto se puede activar si el servidor solicita la autenticación del cliente y un cliente malintencionado se conecta".

OpenSSL es una implementación de código abierto de los protocolos SSL y TLS utilizados para la comunicación segura y está integrado en varios sistemas operativos y una amplia gama de software.

Las versiones 3.0.0 a 3.0.6 de la biblioteca se ven afectadas por los nuevos defectos, que se han corregido en la versión 3.0.7. Vale la pena señalar que las versiones de OpenSSL 1.x comúnmente implementadas no son vulnerables.

Según los datos compartidos por Censys, se dice que alrededor de 7,062 hosts ejecutan una versión susceptible de OpenSSL al 30 de octubre de 2022, con la mayoría de ellos ubicados en los Estados Unidos, Alemania, Japón, China, Chequia, Reino Unido, Francia, Rusia, Canadá y los Países Bajos.

Si bien CVE-2022-3602 se trató inicialmente como una vulnerabilidad crítica, su gravedad se ha degradado a alta, citando protecciones de desbordamiento de pila en plataformas modernas. Los investigadores de seguridad Polar Bear y Viktor Dukhovni han sido acreditados con los informes CVE-2022-3602 y CVE-2022-3786 el 17 y 18 de octubre de 2022.

El Proyecto OpenSSL señaló además que los errores se introdujeron en OpenSSL 3.0.0 como parte de la funcionalidad de decodificación punycode que se usa actualmente para procesar restricciones de nombre de dirección de correo electrónico en certificados X.509.

A pesar del cambio en la gravedad, OpenSSL dijo que considera que "estos problemas son vulnerabilidades graves y se alienta a los usuarios afectados a actualizar lo antes posible".

La firma de ciberseguridad Rapid7 señaló que "la explotabilidad es significativamente limitada", ya que las fallas ocurren "después de la verificación del certificado y requieren que una CA haya firmado el certificado malicioso o que la aplicación continúe la verificación del certificado a pesar de no construir una ruta a un emisor de confianza".

"Específicamente, las implementaciones que están configuradas para la autenticación mutua, donde tanto el cliente como el servidor proporcionan certificados proporcionados por OpenSSL para la autenticación, definitivamente deberían acelerar esta actualización", dijo Tod Beardsley, director de investigación de Rapid7.

Brian Fox, cofundador y CTO de la firma de gestión de la cadena de suministro de software Sonatype, reiteró el alto nivel de dificultad requerido para armar las fallas.

"La vulnerabilidad requiere un certificado mal formado que sea confiable o esté firmado por una autoridad de nomenclatura", dijo Fox. "Eso significa que las autoridades deberían poder evitar rápidamente que se creen certificados diseñados para atacar esta vulnerabilidad, lo que limita aún más el alcance".

La versión 3.0, la versión actual de OpenSSL, se incluye con sabores de sistemas operativos Linux como CentOS, Fedora, Kali, Linux Mint, openSUSE Leap y Ubuntu. macOS de Apple, por otro lado, usa LibreSSL. Las imágenes de contenedor creadas con versiones afectadas de Linux también se ven afectadas.

Según un aviso publicado por Docker, aproximadamente 1.000 repositorios de imágenes podrían verse afectados en varias imágenes oficiales de Docker y Docker Verified Publisher.

"La nueva vulnerabilidad OpenSSL no afecta la emisión o el uso de certificados", dijo Tim Callan, director de cumplimiento de Sectigo, en un comunicado. "Ninguna organización necesita revocar o volver a emitir certificados basados en esta vulnerabilidad".

La última falla crítica abordada por OpenSSL fue en septiembre de 2016, cuando cerró CVE-2016-6309, un error de uso posterior a la liberación que podría provocar un bloqueo o ejecución de código arbitrario.

Hay cerca de 240,000 servidores de acceso público en todo el mundo que ejecutan versiones de OpenSSL que aún son vulnerables a Heartbleed ocho años después de su descubrimiento inicial, dijeron los investigadores de Rezilion Yotam Perkal y Ofri Ouzan.

El kit de herramientas de software OpenSSL se vio afectado especialmente por Heartbleed (CVE-2014-0160), un grave problema de manejo de memoria en la implementación de la extensión de latido TLS / DTLS, que permite a los atacantes leer partes de la memoria de un servidor de destino.

"Una vulnerabilidad crítica en una biblioteca de software como OpenSSL, que es tan ampliamente utilizada y tan fundamental para la seguridad de los datos en Internet, es una que ninguna organización puede permitirse pasar por alto", dijo SentinelOne.

Dicho esto, OpenSSL ha advertido que la vulnerabilidad puede ser crítica para los sistemas que no tienen las protecciones adecuadas, lo que teóricamente conduce a la ejecución remota de código en algunas arquitecturas y plataformas.

"La posibilidad de que esta vulnerabilidad sea explotada en la naturaleza es baja debido a la sofisticación de este error de seguridad, y el hecho de que una de las condiciones es un certificado malicioso firmado por una CA de confianza", dijo Bharat Jogi, director de investigación de vulnerabilidades y amenazas de Qualys.

"Dado que la mayoría de los sistemas y plataformas modernos implementan protecciones integradas para frustrar este tipo de ataques y mitigar estos riesgos, específicamente la ejecución remota de código, el nivel de gravedad se redujo".

FUENTE: THEHACKERNEWS.COM

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...