Próxima vulnerabilidad crítica de OpenSSL: ¿Qué será afectado? (Actualizado)

Algunos recordamos Heartbleed, una vulnerabilidad crítica de OpenSSL que sorprendió a muchas organizaciones, y reparar el problema fue una tarea importante. Heartbleed hizo que OpenSSL y otros proyectos de código abierto reconsideraran cómo abordan los problemas de seguridad y se comunican con sus usuarios. OpenSSL comenzó a anunciar previamente cualquier actualización de seguridad con una semana de anticipación.

OpenSSL anunció que lanzaría OpenSSL 3.0.7 mañana martes y que solucionará una nueva vulnerabilidad crítica que afecta a las configuraciones comunes y que también es probable que sea explotable.

Los ejemplos incluyen la divulgación significativa del contenido de la memoria del servidor (potencialmente revelando detalles del usuario), vulnerabilidades que pueden explotarse fácilmente de forma remota para comprometer las claves privadas del servidor o donde la ejecución remota de código se considera probable en situaciones comunes.

La actualización solo afectará a OpenSSL 3.0.x, no a 1.1.1. Ahora es el momento de averiguar dónde y cómo está utilizando OpenSSL 3.0.x. Para la mayoría de los sistemas, podrá utilizar la utilidad de línea de comandos de openssl: openssl version

OpenSSL 3.0.0, la primera versión estable de OpenSSL 3.0, se lanzó en septiembre de 2021, hace aproximadamente un año. Es probable que cualquier sistema operativo anterior use OpenSSL 1.1.1, que no se ve afectado.

Estos problemas se mantendrán en privado y darán lugar a una nueva versión de todas las versiones compatibles. Intentaremos solucionarlos lo antes posible.

Las versiones vulnerables de OpenSSL (3.0 y superiores) se utilizan actualmente en los sistemas operativos Linux, incluidos Ubuntu 22.04 LTS, MacOS Ventura, Fedora 36 y otros. Sin embargo, las distribuciones de Linux como Debian solo incluyen OpenSSL 3.x en sus versiones más recientes, que todavía se consideran versiones de prueba y, por lo tanto, el uso generalizado en los sistemas de producción puede ser limitado.

Vale la pena señalar que muchas imágenes populares de Docker Official usan Debian Bullseye y Alpine, que todavía usan OpenSSL 1.x y no se ven afectadas. Las imágenes de contenedor oficiales de Docker para proyectos como nginx y httpd, populares para manejar el tráfico web, también usan Bullseye y Alpine y no se ven afectadas.

Node.js 18.x y 19.x también usan OpenSSL3 de forma predeterminada, por lo que anticipamos actualizaciones para Node.js en los próximos días.

Finalmente, si sus propios desarrolladores usan C/C++, es posible que estén incorporando paquetes OpenSSL v3 en su código.

Aquí hay una lista rápida de versiones de OpenSSL para diferentes sistemas operativos.

Actualización 01/11

Las vulnerabilidades específicas (ahora CVE-2022-37786 y CVE-2022-3602) se desconocían en gran medida hasta hoy, pero los analistas y las empresas en el campo de la seguridad web insinuaron que podría haber problemas notables y problemas de mantenimiento. Algunas distribuciones de Linux, incluida Fedora, retrasaron los lanzamientos hasta que el parche estuvo disponible. El gigante de distribución Akamai notó que la mitad de sus redes monitoreadas tenían al menos una máquina con una instancia vulnerable de OpenSSL 3.x, y entre esas redes, entre el 0,2 y el 33 por ciento de las máquinas eran vulnerables.

Pero las vulnerabilidades específicas (desbordamientos del lado del cliente en circunstancias limitadas que son mitigados por el diseño de la pila en la mayoría de las plataformas modernas) ahora están parcheadas y fueron calificadas como "Altas". Y, con OpenSSL 1.1.1 todavía en su fase de soporte, a largo plazo, OpenSSL 3.x no está tan extendido.

El experto en malware Marcus Hutchins señala una confirmación de OpenSSL en GitHub que detalla los problemas del código: "se corrigieron dos desbordamientos de búfer en funciones de decodificación de código". Una dirección de correo electrónico maliciosa, verificada dentro de un certificado X.509, podría ocasionar un desbordamiento de bytes en la pila, lo que provocaría un bloqueo o una posible ejecución remota del código, según la plataforma y la configuración.

Pero esta vulnerabilidad afecta principalmente a los clientes, no a los servidores, por lo que es probable que no siga el mismo tipo de problemas de seguridad en Internet (y absurdo) de Heartbleed. Las VPN que utilizan OpenSSL 3.x podrían verse afectadas, por ejemplo, e lenguajes como Node.js. El experto en seguridad cibernética Kevin Beaumont señala que las protecciones de desbordamiento de pila en la mayoría de las configuraciones predeterminadas de las distribuciones de Linux deberían evitar la ejecución del código.

El equipo de seguridad de OpenSSL señala en una publicación de blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron sus comentarios. En algunas distribuciones de Linux, el desbordamiento de 4 bytes sobrescribía un búfer adyacente que aún no se usaba y, por lo tanto, no podría bloquear un sistema ni ejecutar código. La otra vulnerabilidad solo permitía que un atacante estableciera la duración de un desbordamiento, no el contenido.

Por lo tanto, si bien aún son posibles los bloqueos, la ejecución remota de código, no es probable ni fácil. Sin embargo, los usuarios de cualquier implementación de OpenSSL 3.x deben parchear lo antes posible. 

El servicio de monitoreo Datadog, señala que su equipo de investigación de seguridad pudo bloquear una implementación de Windows usando una versión de OpenSSL 3.x en una prueba de concepto. Y, aunque es probable que las implementaciones de Linux no sean explotables, "aún podría surgir un exploit diseñado para implementaciones de Linux".

El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSL-NL) tiene una lista actualizada de software vulnerable al exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas se enumeran como vulnerables o bajo investigación.

Fuente: ISC

Suscríbete a nuestro Boletín