Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision.
In der letzten Oktoberwoche 2022 enthüllte OpenSSL Project zwei Schwachstellen, die in der OpenSSL-Bibliothek gefunden wurden. Sowohl CVE-2022-360 als auch CVE-2022-3786 wurden als Probleme mit dem Schweregrad „Hoch“ mit einem CVSS-Wert von 8,8 eingestuft, was nur 0,2 Punkte unter dem Wert liegt, den sie benötigen, um als „Kritisch“ eingestuft zu werden.
Das Problem liegt im Überprüfungsprozess von Zertifikaten, den OpenSSL für die zertifikatbasierte Authentifizierung durchführt. Die Ausnutzung der Schwachstellen könnte es einem Angreifer ermöglichen, einen Denial of Service (DoS)- oder sogar einen Remote Code Execution-Angriff zu starten. Patches für die beiden in OpenSSL v3.0.0 bis v3.06 gefundenen Schwachstellen wurden jetzt veröffentlicht.
Was ist OpenSSL?
OpenSSL ist ein weit verbreitetes Open-Source-Kryptografie-Befehlszeilendienstprogramm, das implementiert wurde, um den Austausch von Webverkehr zwischen einem Client und einem Server sicher zu halten. Es wird verwendet, um öffentliche und private Schlüssel zu generieren, SSL/TLS-Zertifikate zu installieren, Zertifikatsinformationen zu überprüfen und Verschlüsselung bereitzustellen.
Das Problem trat am 17. Oktober 2022 ans Licht, als Polar Bear OpenSSL Project zwei in OpenSSL Version 3.0.0 bis 3.0.6 gefundene Sicherheitslücken auf hoher Ebene offenlegte. Die Schwachstellen sind CVE-2022-3602 & CVE-2022-3786.
Am 25. Oktober 2022 traf die Nachricht von den Sicherheitslücken im Internet ein. Mark Cox, Red Hat Software Engineer und VP of Security der Apache Software Foundation, brachte die Nachricht in einem Tweet.
Wie kann ein Angreifer diese Schwachstellen ausnutzen?
Das Schwachstellenpaar CVE-2022-3602 und CVE-2022-3786 ist anfällig Pufferüberlaufangriff Dabei handelt es sich um einen Cyberangriff, bei dem Inhalte des Serverspeichers missbraucht werden, um Benutzerinformationen und private Schlüssel des Servers preiszugeben oder eine Remotecodeausführung durchzuführen.
CVE-2022-3602
Diese Schwachstelle ermöglicht es einem Angreifer, einen Pufferüberlauf bei der X.509-Zertifikatsüberprüfung bei der Namensbeschränkungsprüfung auszunutzen. Dies geschieht nach der Überprüfung der Zertifikatskette und erfordert eine CA-Signatur auf dem schädlichen Zertifikat oder die Zertifikatsüberprüfung, um fortgesetzt zu werden, obwohl die Zuordnung zu einem vertrauenswürdigen Aussteller fehlgeschlagen ist.
Ein Angreifer kann sich einverleiben ein Phishing-Schema wie das Erstellen einer fabrizierten E-Mail-Adresse, um vier Bytes auf dem Stapel zu überlaufen. Dies kann zu einem Denial-of-Service (DoS)-Angriff führen, bei dem der Dienst nach einem Absturz nicht mehr verfügbar ist, oder Der Angreifer kann Remote Code Execution durchführen, was bedeutet, dass ein Code remote ausgeführt wird, um die Anwendung zu steuern Server.
Diese Schwachstelle kann ausgelöst werden, wenn ein authentischer TLS-Client eine Verbindung zu einem böswilligen Server herstellt oder wenn ein authentischer TLS-Server eine Verbindung zu einem böswilligen Client herstellt.
CVE-2022-3786
Diese Schwachstelle wird genau wie CVE-2022-3602 ausgenutzt. Der einzige Unterschied besteht darin, dass ein Angreifer eine böswillige E-Mail-Adresse erstellt, um eine willkürliche Anzahl von Bytes mit dem „.“ überlaufen zu lassen. Zeichen (dezimal 46). In CVE-2022-3602 werden jedoch nur vier vom Angreifer kontrollierte Bytes ausgenutzt.
Rückblick auf die Notorious „Heartbleed“-Schwachstelle
Bereits 2016 wurde ein ähnliches Problem in OpenSSL entdeckt, das mit dem Schweregrad „Kritisch“ bewertet wurde. Dabei handelte es sich um einen Fehler bei der Speicherverwaltung, der es Angreifern ermöglichte, geheime Schlüssel, Passwörter und andere vertrauliche Informationen auf anfälligen Servern zu kompromittieren. Der berüchtigte Fehler ist bekannt als Herzbluten (CVE-2014-0160) und bis heute gelten über 200.000 Maschinen als anfällig für diese Schwachstelle.
Was ist die Lösung?
In der heutigen, auf Cybersicherheit bedachten Welt implementieren viele Plattformen Stack-Overflow-Schutzmaßnahmen, um Angreifer in Schach zu halten. Dies stellt die notwendige Minderung gegen einen Pufferüberlauf bereit.
Eine weitere Abschwächung dieser Schwachstellen umfasst ein Upgrade auf die neueste veröffentlichte Version von OpenSSL. Da OpenSSL v3.0.0 bis v3.0.6 anfällig ist, wird empfohlen, dass Sie auf OpenSSL v3.0.7 aktualisieren. Allerdings, wenn Sie verwenden OpenSSL v1.1.1 und v1.0.2, Sie können diese Versionen weiterhin verwenden, da sie von den beiden nicht betroffen sind Schwachstellen.
Die beiden Schwachstellen sind schwer auszunutzen
Die Wahrscheinlichkeit, dass diese Schwachstellen missbraucht werden, ist gering, da eine der Bedingungen ein fehlerhaftes Zertifikat ist, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Aufgrund der ständig wachsenden Angriffslandschaft stellen die meisten modernen Systeme sicher, dass integrierte Sicherheitsmechanismen implementiert werden, um diese Art von Angriffen zu vermeiden.
Cybersicherheit ist in der heutigen Welt eine Notwendigkeit, mit integrierten und fortschrittlichen Schutzmechanismen sind Schwachstellen wie diese schwer auszunutzen. Dank der von OpenSSL rechtzeitig veröffentlichten Sicherheitsupdates müssen Sie sich über diese Schwachstellen keine Sorgen machen. Ergreifen Sie einfach die notwendigen Maßnahmen wie das Patchen Ihres Systems und die Implementierung guter Sicherheitsebenen, und Sie können OpenSSL sicher verwenden.
