קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף.
בשבוע האחרון של אוקטובר 2022, OpenSSL Project חשף שתי נקודות תורפה שנמצאו בספריית OpenSSL. גם CVE-2022-360 וגם CVE-2022-3786 סומנו בעיות חומרה "גבוהות" עם ציון CVSS של 8.8, רק 0.2 נקודות נמוך ממה שהם צריכים כדי להיחשב "קריטיים".
הבעיה טמונה בתהליך האימות של אישורים ש-OpenSSL מבצעת עבור אימות מבוסס תעודות. ניצול הפגיעות עלול לאפשר לתוקף להפעיל מניעת שירות (DoS) או אפילו התקפת ביצוע קוד מרחוק. כעת שוחררו תיקונים עבור שתי החולשות שנמצאו ב-OpenSSL v3.0.0 עד v3.06.
מה זה OpenSSL?
OpenSSL הוא כלי עזר שורת פקודה קריפטוגרפיה בקוד פתוח המיושם כדי לשמור על אבטחת חילופי תעבורת האינטרנט בין לקוח לשרת. הוא משמש להפקת מפתחות ציבוריים ופרטיים, התקנת תעודות SSL/TLS, אימות מידע תעודה ואספקת הצפנה.
הנושא התגלה ב-17 באוקטובר 2022 כאשר Polar Bear חשף שתי נקודות תורפה ברמה גבוהה שנמצאו ב-OpenSSL גרסאות 3.0.0 עד 3.0.6 ל-OpenSSL Project. נקודות התורפה הן CVE-2022-3602 ו-CVE-2022-3786.
ב-25 באוקטובר 2022, החדשות על נקודות התורפה הגיעו לאינטרנט. מארק קוקס, מהנדס תוכנה ב-Red Hat וסמנכ"ל האבטחה של קרן התוכנה של Apache, פרסם את החדשות בציוץ.
כיצד יכול תוקף לנצל את הפגיעויות הללו?
צמד הפגיעויות CVE-2022-3602 ו-CVE-2022-3786 נוטים מתקפת הצפת חיץ שהיא מתקפת סייבר שבה נעשה שימוש לרעה בתוכן זיכרון השרת כדי לחשוף מידע משתמש ומפתחות פרטיים לשרת או לבצע ביצוע קוד מרחוק.
CVE-2022-3602
פגיעות זו מאפשרת לתוקף לנצל את יתרון החצץ במאגר באימות אישור X.509 בבדיקת אילוצי שמות. זה קורה לאחר אימות שרשרת האישורים ודורש חתימת CA על האישור הזדוני או אימות האישור כדי להמשיך למרות אי מיפוי למנפיק מהימן.
תוקף יכול לשלב ערכת דיוג כגון יצירת כתובת אימייל מפוברקת כדי להציף ארבעה בתים בערימה. זה יכול לגרום להתקפת מניעת שירות (DoS) שבה השירות הופך ללא זמין לאחר קריסה, או התוקף יכול לבצע ביצוע קוד מרחוק, כלומר קוד מופעל מרחוק כדי לשלוט באפליקציה שרת.
פגיעות זו יכולה להיות מופעלת אם לקוח TLS אותנטי מתחבר לשרת זדוני או אם שרת TLS אותנטי מתחבר ללקוח זדוני.
CVE-2022-3786
הפגיעות הזו מנוצלת בדיוק כמו CVE-2022-3602. ההבדל היחיד הוא שתוקף יוצר כתובת דוא"ל זדונית כדי להציף מספר שרירותי של בתים המכילים את "." תו (עשרוני 46). עם זאת, ב-CVE-2022-3602, רק ארבעה בתים הנשלטים על ידי התוקף מנוצלים.
פלאשבק הפגיעות הידוע לשמצה של "Heartbleed".
עוד בשנת 2016, בעיה דומה התגלתה ב-OpenSSL שקיבלה דירוג חומרה "קריטי". זה היה באג לטיפול בזיכרון שאפשר לתוקפים להתפשר על מפתחות סודיים, סיסמאות ומידע רגיש אחר בשרתים פגיעים. הבאג הידוע לשמצה ידוע בשם Heartbleed (CVE-2014-0160) ועד היום, למעלה מ-200,000 מכונות נחשבות לפגיעות לחולשה זו.
מה התיקון?
בעולם המודע לאבטחת הסייבר של היום, פלטפורמות רבות מיישמות הגנות על הצפת מחסנית כדי להרחיק את התוקפים. זה מספק הקלה הכרחית נגד הצפת חיץ.
הפחתה נוספת נגד פגיעויות אלה כרוכה בשדרוג לגרסה האחרונה שפורסמה של OpenSSL. מכיוון ש-OpenSSL v3.0.0 עד v3.0.6 פגיע, מומלץ לשדרג ל-OpenSSL v3.0.7. עם זאת, אם אתה משתמש OpenSSL v1.1.1 ו-v1.0.2, אתה יכול להמשיך להשתמש בגרסאות אלה מכיוון שהן אינן מושפעות מהשתיים פגיעויות.
קשה לנצל את שתי הפגיעויות
הסיכוי לניצול לרעה של פגיעויות אלו הוא נמוך מכיוון שאחד התנאים הוא אישור פגום חתום על ידי CA מהימן. בשל נוף התקיפות ההולך וגובר, רוב המערכות המודרניות מקפידות ליישם מנגנוני אבטחה מובנים כדי להימנע מהתקפות מסוג זה.
אבטחת סייבר היא הכרח בעולם של היום, עם מנגנוני הגנה מובנים ומתקדמים, נקודות תורפה כמו אלו קשה לנצל. הודות לעדכוני האבטחה שפורסמו על ידי OpenSSL בזמן, אינך צריך לדאוג לגבי נקודות התורפה הללו. פשוט נקוט באמצעים הדרושים כמו תיקון המערכת שלך והטמעת שכבות טובות של אבטחה, ואתה בטוח להשתמש ב-OpenSSL.