Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen.
In de laatste week van oktober 2022 onthulde OpenSSL Project twee kwetsbaarheden in de OpenSSL-bibliotheek. Zowel CVE-2022-360 als CVE-2022-3786 hebben het label "Hoge" problemen gekregen met een CVSS-score van 8,8, slechts 0,2 punten lager dan wat ze nodig hebben om als "Kritiek" te worden beschouwd.
Het probleem ligt in het verificatieproces van certificaten dat OpenSSL uitvoert voor op certificaten gebaseerde authenticatie. Door misbruik van de kwetsbaarheden kan een aanvaller een Denial of Service (DoS) of zelfs een Remote Code Execution-aanval uitvoeren. Er zijn nu patches uitgebracht voor de twee zwakke punten die zijn gevonden in OpenSSL v3.0.0 tot v3.06.
Wat is OpenSSL?
OpenSSL is een veel gebruikt open-source cryptografie-opdrachtregelhulpprogramma dat is geïmplementeerd om de uitwisseling van webverkeer tussen een client en server veilig te houden. Het wordt gebruikt om openbare en privésleutels te genereren, SSL/TLS-certificaten te installeren, certificaatinformatie te verifiëren en codering te bieden.
Het probleem kwam op 17 oktober 2022 aan het licht toen Polar Bear twee kwetsbaarheden op hoog niveau in OpenSSL versie 3.0.0 tot 3.0.6 aan OpenSSL Project openbaarde. De kwetsbaarheden zijn CVE-2022-3602 & CVE-2022-3786.
Op 25 oktober 2022 kwam het nieuws over de kwetsbaarheden op internet. Mark Cox, een Red Hat Software Engineer en de Apache Software Foundation VP of Security brachten het nieuws in een tweet.
Hoe kan een aanvaller deze kwetsbaarheden misbruiken?
Het paar kwetsbaarheden CVE-2022-3602 en CVE-2022-3786 zijn gevoelig voor buffer overflow aanval Dit is een cyberaanval waarbij de inhoud van het servergeheugen wordt misbruikt om gebruikersinformatie en privésleutels van de server te onthullen of om externe code uit te voeren.
CVE-2022-3602
Door dit beveiligingslek kan een aanvaller misbruik maken van bufferoverschrijding bij de verificatie van X.509-certificaten bij het controleren van naambeperkingen. Dit gebeurt na verificatie van de certificaatketen en vereist een CA-handtekening op het schadelijke certificaat of de certificaatverificatie om door te gaan ondanks het niet toewijzen aan een vertrouwde uitgever.
Een aanvaller kan opnemen een phishing-schema zoals het creëren van een verzonnen e-mailadres om vier bytes op de stapel te laten overlopen. Dit kan resulteren in een Denial-of-Service (DoS)-aanval waarbij de service na een crash niet meer beschikbaar is, of de aanvaller kan Remote Code Execution uitvoeren, wat betekent dat een code op afstand wordt uitgevoerd om de applicatie te besturen server.
Dit beveiligingslek kan worden geactiveerd als een authentieke TLS-client verbinding maakt met een kwaadwillende server of als een authentieke TLS-server verbinding maakt met een kwaadwillende cliënt.
CVE-2022-3786
Deze kwetsbaarheid wordt net als CVE-2022-3602 misbruikt. Het enige verschil is dat een aanvaller een kwaadaardig e-mailadres maakt om een willekeurig aantal bytes met de "." teken (decimaal 46). In CVE-2022-3602 worden echter slechts vier bytes beheerd door de aanvaller misbruikt.
De beruchte "Heartbleed"-kwetsbaarheid Flashback
In 2016 werd een soortgelijk probleem ontdekt in OpenSSL dat de ernstclassificatie "Kritiek" kreeg. Dit was een geheugenprobleem waardoor aanvallers geheime sleutels, wachtwoorden en andere gevoelige informatie op kwetsbare servers konden stelen. De beruchte bug staat bekend als Hartbloeding (CVE-2014-0160) en tot op de dag van vandaag worden meer dan 200.000 machines kwetsbaar geacht voor deze zwakte.
Wat is de oplossing?
In de huidige cyberbeveiligingsbewuste wereld implementeren veel platforms stackoverloopbeveiligingen om aanvallers op afstand te houden. Dit zorgt voor de nodige mitigatie tegen bufferoverflow.
Verdere beperking van deze kwetsbaarheden omvat een upgrade naar de nieuwste versie van OpenSSL. Aangezien OpenSSL v3.0.0 tot v3.0.6 kwetsbaar is, is het raadzaam om te upgraden naar OpenSSL v3.0.7. Als u echter gebruikt OpenSSL v1.1.1 en v1.0.2, u kunt deze versies blijven gebruiken omdat ze niet worden beïnvloed door de twee kwetsbaarheden.
De twee kwetsbaarheden zijn moeilijk te exploiteren
De kans dat deze kwetsbaarheden worden misbruikt, is klein omdat een van de voorwaarden een verkeerd opgemaakt certificaat is dat is ondertekend door een vertrouwde CA. Vanwege het steeds groter wordende aanvalslandschap zorgen de meeste moderne systemen ervoor dat ze ingebouwde beveiligingsmechanismen implementeren om dit soort aanvallen te voorkomen.
Cyberbeveiliging is een noodzaak in de wereld van vandaag, met ingebouwde en geavanceerde beschermingsmechanismen, kwetsbaarheden als deze zijn moeilijk te exploiteren. Dankzij de tijdig uitgebrachte beveiligingsupdates van OpenSSL hoef je je geen zorgen te maken over deze kwetsbaarheden. Neem gewoon de nodige maatregelen, zoals het patchen van uw systeem en het implementeren van goede beveiligingslagen, en u kunt OpenSSL veilig gebruiken.
