OpenSSL vấn đề cập nhật bảo mật cho hai lỗ hổng nghiêm trọng: CVE-2022-360 và CVE-2022-3786
Vào tuần cuối cùng của tháng 10 năm 2022, Dự án OpenSSL đã tiết lộ hai lỗ hổng được tìm thấy trong thư viện OpenSSL. Cả CVE-2022-360 và CVE-2022-3786 đều được gắn nhãn các vấn đề nghiêm trọng “Cao” với điểm CVSS là 8,8, chỉ thấp hơn 0,2 điểm so với mức mà chúng cần được coi là “Nghiêm trọng”.
Vấn đề nằm ở quy trình xác minh chứng chỉ mà OpenSSL thực hiện để xác thực dựa trên chứng chỉ. Việc khai thác các lỗ hổng có thể cho phép kẻ tấn công khởi chạy một cuộc tấn công Từ chối Dịch vụ (DoS) hoặc thậm chí là một cuộc tấn công Thực thi mã từ xa. Bản vá cho hai điểm yếu được tìm thấy trong OpenSSL v3.0.0 đến v3.06 hiện đã được phát hành.
Mục Lục
OpenSSL là gì?
OpenSSL là một tiện ích dòng lệnh mật mã nguồn mở được sử dụng rộng rãi được triển khai để giữ an toàn cho việc trao đổi lưu lượng web giữa máy khách và máy chủ. Nó được sử dụng để tạo khóa công khai và riêng tư, cài đặt chứng chỉ SSL / TLS, xác minh thông tin chứng chỉ và cung cấp mã hóa.
Vấn đề được đưa ra ánh sáng vào ngày 17 tháng 10 năm 2022 khi Polar Bear tiết lộ hai lỗ hổng cấp cao được tìm thấy trong OpenSSL phiên bản 3.0.0 đến 3.0.6 cho Dự án OpenSSL. Các lỗ hổng bảo mật là CVE-2022-3602 & CVE-2022-3786.
Vào ngày 25 tháng 10 năm 2022, tin tức về các lỗ hổng đã xuất hiện trên internet. Mark Cox, Kỹ sư phần mềm Red Hat và Phó Chủ tịch Bảo mật của Tổ chức Phần mềm Apache đã đưa ra tin tức này trong một tweet.
Làm thế nào kẻ tấn công có thể khai thác những lỗ hổng này?
Cặp lỗ hổng CVE-2022-3602 và CVE-2022-3786 dễ bị tấn công tràn bộ đệm, là một cuộc tấn công mạng trong đó nội dung bộ nhớ máy chủ bị lạm dụng để tiết lộ thông tin người dùng và khóa riêng của máy chủ hoặc thực hiện mã từ xa.
CVE-2022-3602
Lỗ hổng này cho phép kẻ tấn công lợi dụng việc ghi đè bộ đệm trong xác minh chứng chỉ X.509 trong việc kiểm tra ràng buộc tên. Điều này xảy ra sau khi xác minh chuỗi chứng chỉ và yêu cầu chữ ký CA trên chứng chỉ độc hại hoặc xác minh chứng chỉ để tiếp tục mặc dù không liên kết được với nhà phát hành đáng tin cậy.
Kẻ tấn công có thể kết hợp một kế hoạch lừa đảo, chẳng hạn như tạo một địa chỉ email bịa đặt để làm tràn bốn byte trên ngăn xếp. Điều này có thể dẫn đến một cuộc tấn công Từ chối Dịch vụ (DoS) trong đó dịch vụ không khả dụng sau khi gặp sự cố hoặc kẻ tấn công có thể thực hiện Thực thi mã từ xa, có nghĩa là mã được chạy từ xa để điều khiển máy chủ ứng dụng.
Lỗ hổng này có thể được kích hoạt nếu máy khách TLS xác thực kết nối với máy chủ độc hại hoặc nếu máy chủ TLS xác thực kết nối với máy khách độc hại.
CVE-2022-3786
Lỗ hổng này được khai thác giống như CVE-2022-3602. Sự khác biệt duy nhất là kẻ tấn công tạo một địa chỉ email độc hại để làm tràn một số byte tùy ý có chứa “.” ký tự (số thập phân 46). Tuy nhiên, trong CVE-2022-3602, chỉ có bốn byte do kẻ tấn công kiểm soát được khai thác.
Đoạn hồi tưởng về lỗ hổng “Heartbleed” khét tiếng
Quay trở lại năm 2016, một vấn đề tương tự đã được phát hiện trong OpenSSL được xếp hạng mức độ nghiêm trọng “Nghiêm trọng”. Đây là một lỗi xử lý bộ nhớ cho phép kẻ tấn công xâm phạm khóa bí mật, mật khẩu và thông tin nhạy cảm khác trong các máy chủ dễ bị tấn công. Lỗi nổi tiếng được gọi là Heartbleed (CVE-2014-0160) và cho đến ngày nay, hơn 200.000 máy được coi là dễ bị tấn công bởi điểm yếu này.
Cách khắc phục là gì?
Trong thế giới nhận thức về an ninh mạng ngày nay, nhiều nền tảng triển khai các biện pháp bảo vệ chống tràn ngăn xếp để ngăn chặn những kẻ tấn công. Điều này cung cấp giảm thiểu cần thiết chống lại tràn bộ đệm.
Việc giảm thiểu các lỗ hổng bảo mật này liên quan đến việc nâng cấp lên phiên bản OpenSSL được phát hành mới nhất. Vì OpenSSL v3.0.0 đến v3.0.6 dễ bị tấn công, bạn nên nâng cấp lên OpenSSL v3.0.7. Tuy nhiên, nếu bạn sử dụng OpenSSL v1.1.1 và v1.0.2, bạn có thể tiếp tục sử dụng các phiên bản này vì chúng không bị ảnh hưởng bởi hai lỗ hổng.
Hai lỗ hổng khó khai thác
Khả năng các lỗ hổng này bị lạm dụng là thấp vì một trong những điều kiện là chứng chỉ không đúng định dạng được ký bởi một CA đáng tin cậy. Do bối cảnh tấn công ngày càng gia tăng, hầu hết các hệ thống hiện đại đảm bảo thực hiện các cơ chế bảo mật tích hợp để tránh các loại tấn công này.
An ninh mạng là một điều cần thiết trong thế giới ngày nay, với các cơ chế bảo vệ tiên tiến và được tích hợp sẵn, các lỗ hổng như thế này rất khó khai thác. Nhờ các bản cập nhật bảo mật được OpenSSL phát hành kịp thời, bạn không cần phải lo lắng về những lỗ hổng này. Chỉ cần thực hiện các biện pháp cần thiết như vá hệ thống của bạn và triển khai các lớp bảo mật tốt là bạn có thể sử dụng OpenSSL một cách an toàn.