Центр мониторинга и реагирования UserGate добавил в «Систему обнаружения вторжений» (СОВ) UserGate две новые сигнатуры, позволяющие детектировать атаки с использованием недавно обнаруженных 17 и 18 октября серьёзных уязвимостей CVE-2022-3602 и CVE-2022-3786. Они затрагивают OpenSSL версии с 3.0.0 по 3.0.6 на большинстве сборок Linux.
Данная уязвимость заключается в переполнении буфера в TLS-полях id-ce-subjectAltName и id-ce-nameConstraints (относящиеся к адресу электронной почты) при использовании кодировки Punycode. Злоумышленник может выполнить TLS-запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера. Это происходит при проверке действительности сертификата X.509, в конечном итоге злоумышленник мог либо вызвать отказ в работе протокола шифрования и невозможности установления зашифрованных соединений, либо, что хуже всего, запустить вредоносный исполняемый код.
Уязвимость может эксплуатироваться как в клиентской, так и в серверной части TLS. В клиенте это реализуется подключением к серверу злоумышленника, на сервере – в том случае, если он требует аутентификации клиента и к нему подключается клиент злоумышленника.
В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена уязвимость-побратим (CVE-2022-3786), а их рейтинг был снижен до HIGH. Снижение произошло потому, что на большинстве платформ реализована защита от возможности запуска исполняемого кода при переполнении буфера, поэтому в этой ситуации просто происходит остановка процесса. Однако уязвимость всё равно считается серьёзной, поскольку OpenSSL распространяется в виде исходного кода и на некоторых платформах дополнительной защиты от данной уязвимости нет.
OpenSSL – это широко распространённая библиотека шифрования с открытым исходным кодом, она используется в том числе в протоколе HTTPS (SSL/TLS). Последняя версия 3.0.7 выпущена 1 ноября, с ней уязвимость уже устранена, поэтому следует обновить библиотеку до последней версии.