E o projeto OpenSSL corrigiu duas vulnerabilidades de alta gravidade, identificadas como CVE-2022-3602 e CVE-2022-3786.
Sim. O Projeto OpenSSL corrigiu duas falhas de segurança de alta gravidade em sua biblioteca criptográfica de código aberto usada para criptografar canais de comunicação e conexões HTTPS.
OpenSSL corrigiu duas vulnerabilidades de alta gravidade
As vulnerabilidades (CVE-2022-3602 e CVE-2022-3786) afetam o OpenSSL versão 3.0.0 e posterior e foram abordadas no OpenSSL 3.0.7.
O CVE-2022-3602 é um estouro arbitrário de buffer de pilha de 4 bytes que pode desencadear falhas ou levar à execução remota de código (RCE), enquanto o CVE-2022-3786 pode ser explorado por invasores por meio de endereços de e-mail maliciosos para desencadear um estado de negação de serviço através de um estouro de buffer.
“Ainda consideramos esses problemas como vulnerabilidades sérias e os usuários afetados são incentivados a atualizar o mais rápido possível”, disse a equipe do OpenSSL.
“Não estamos cientes de qualquer exploração de trabalho que possa levar à execução remota de código e não temos evidências de que esses problemas sejam explorados no momento do lançamento deste post.”
De acordo com a política do Open SSL, organizações e administradores de TI foram avisados desde 25 de outubro para pesquisar seus ambientes em busca de instâncias vulneráveis e prepará-los para correção quando o OpenSSL 3.0.7 for lançado.
“Se você souber com antecedência onde está usando o OpenSSL 3.0+ e como o está usando, quando o aviso chegar, você poderá determinar rapidamente se ou como você é afetado e o que precisa corrigir.”, disse Cox.
O OpenSSL também fornece medidas de mitigação que exigem que os administradores que operam servidores TLS desativem a autenticação do cliente TLS até que os patches sejam aplicados.
Embora o aviso inicial tenha levado os administradores a tomar medidas imediatas para mitigar a falha, o impacto real é muito mais limitado, pois o CVE-2022-3602 (inicialmente classificado como crítico) foi rebaixado para alta gravidade e afeta apenas o OpenSSL 3.0 e instâncias posteriores .
Essas versões lançadas recentemente também precisam ser fortemente implantadas no software usado na produção em comparação com as versões anteriores da biblioteca OpenSSL.
Além disso, embora alguns especialistas em segurança e fornecedores tenham equiparado a descoberta desta vulnerabilidade com a falha Log4Shell na biblioteca de log Apache Log4J, apenas cerca de 7.000 sistemas expostos à Internet executando versões OpenSSL vulneráveis de um total de mais de 1.793.000 hosts exclusivos detectados por Censys online — Shodan lista cerca de 16.000 instâncias OpenSSL acessíveis publicamente.
A empresa de segurança em nuvem Wiz.io também disse que apenas 1,5% de todas as instâncias do OpenSSL foram afetadas por essa falha de segurança após analisar implantações nos principais ambientes de nuvem (ou seja, AWS, GCP, Azure, OCI e Alibaba Cloud).
O Centro Nacional de Segurança Cibernética da Holanda mantém uma lista de produtos de software confirmados como (não) afetados por esta vulnerabilidade OpenSSL.
As versões mais recentes do OpenSSL estão incluídas nas versões mais recentes de várias distribuições Linux populares, com Redhat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12 e Fedora 36 marcados como vulneráveis pela empresa de segurança cibernética Akamai.
A Akamai também compartilhou as regras OSQuery e YARA para ajudar as equipes de segurança a encontrar ativos vulneráveis e enfileirar-los para correção assim que a atualização de segurança for lançada.
