Check Point Software alerta a las organizaciones para que se preparen de inmediato ante la advertencia de una vulnerabilidad crítica en OpenSSL.

¿Qué versiones de OpenSSL están expuestas? Las versiones 3.0 y superiores de OpenSSL son las que se consideran vulnerables. Se espera que la versión 3.0.7 de OpenSSL sea la próxima versión y debería incluir la corrección de la vulnerabilidad crítica.

La liberación de la versión correctiva de la biblioteca criptográfica OpenSSL 3.0.7, que corrige dos vulnerabilidades las cuales y razón por la que se lanzó esta versión correctiva es por el desbordamiento de búfer explotado al validar certificados X.509.

hay un caso en el que los servidores podrían explotarse a través de la autenticación de cliente TLS, lo que puede eludir los requisitos de firma de CA, ya que generalmente no se requiere que los certificados de cliente estén firmados por una CA de confianza. Dado que la autenticación del cliente es rara y la mayoría de los servidores no la tienen habilitada, la explotación del servidor debería ser de bajo riesgo.

Los atacantes podrían aprovechar esta vulnerabilidad dirigiendo al cliente a un servidor TLS malicioso que utiliza un certificado especialmente diseñado para desencadenar la vulnerabilidad.

CVE-2022-3602: inicialmente se informó como crítica, una vulnerabilidad provoca un desbordamiento del búfer de 4 bytes al verificar un campo de dirección de correo electrónico especialmente diseñado en un certificado X.509. En un cliente TLS, la vulnerabilidad se puede aprovechar conectándose a un servidor controlado por el atacante. En un servidor TLS, la vulnerabilidad puede aprovecharse si se utiliza la autenticación de cliente mediante certificados. En este caso, la vulnerabilidad se manifiesta en la etapa posterior a la verificación de la cadena de confianza asociada al certificado, es decir El ataque requiere que la autoridad de certificación valide el certificado malicioso del atacante.

CVE-2022-3786: es otro vector de explotación de la vulnerabilidad CVE-2022-3602 identificada durante el análisis del problema. Las diferencias se reducen a la posibilidad de desbordar el búfer en la pila por un número arbitrario de bytes que contengan el carácter «.». El problema se puede utilizar para hacer que una aplicación se bloquee.

Las vulnerabilidades aparecen solo en la rama OpenSSL 3.0.x, las versiones OpenSSL 1.1.1, así como las bibliotecas LibreSSL y BoringSSL derivadas de OpenSSL, no se ven afectadas por el problema. Al mismo tiempo, se generó una actualización de OpenSSL 1.1.1s, que solo contiene correcciones de errores no relacionados con la seguridad.

La rama OpenSSL 3.0 se usa en distribuciones como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Unstable. Se recomienda a los usuarios de estos sistemas que instalen las actualizaciones lo antes posible (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).

En SUSE Linux Enterprise 15 SP4 y openSUSE Leap 15.4, los paquetes con OpenSSL 3.0 están disponibles como opción, los paquetes del sistema usan la rama 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 y FreeBSD permanecen en las ramas de OpenSSL 1.x.