.
Uma vulnerabilidade OpenSSL uma vez sinalizada como o primeiro patch de nível crítico desde que o bug Heartbleed, que reformulou a Internet, acaba de ser corrigido. Ele finalmente chegou como uma correção de segurança “alta” para um estouro de buffer, que afeta todas as instalações do OpenSSL 3.x, mas é improvável que leve à execução remota de código.
A versão 3.0.7 do OpenSSL foi anunciada na semana passada como uma versão de correção de segurança crítica. As vulnerabilidades específicas (agora CVE-2022-37786 e CVE-2022-3602) eram em grande parte desconhecidas até hoje, mas analistas e empresas no campo de segurança da Web sugeriram que poderia haver problemas notáveis e problemas de manutenção. Algumas distribuições Linux, incluindo o Fedora, atrasaram os lançamentos até que o patch estivesse disponível. A gigante da distribuição Akamai observou antes do patch que metade de suas redes monitoradas tinha pelo menos uma máquina com uma instância OpenSSL 3.x vulnerável e, entre essas redes, entre 0,2 e 33% das máquinas eram vulneráveis.
Mas as vulnerabilidades específicas — estouros limitados do lado do cliente que são mitigados pelo layout da pilha na maioria das plataformas modernas — agora são corrigidas e classificadas como “Alta”. E com o OpenSSL 1.1.1 ainda em sua fase de suporte de longo prazo, o OpenSSL 3.x não é tão difundido.
O especialista em malware Marcus Hutchins aponta para um commit do OpenSSL no GitHub que detalha os problemas de código: “corrigido dois estouros de buffer em funções de decodificação de código insignificantes”. Um endereço de e-mail malicioso, verificado em um certificado X.509, pode estourar bytes em uma pilha, resultando em uma falha ou execução de código potencialmente remota, dependendo da plataforma e da configuração.
Mas essa vulnerabilidade afeta principalmente clientes, não servidores, então o mesmo tipo de redefinição de segurança em toda a Internet (e absurdo) do Heartbleed provavelmente não acontecerá. VPNs que utilizam OpenSSL 3.x podem ser afetadas, por exemplo, e linguagens como Node.js. O especialista em segurança cibernética Kevin Beaumont aponta que as proteções de estouro de pilha nas configurações padrão da maioria das distribuições Linux devem impedir a execução de código.
O que mudou entre o anúncio de nível crítico e o lançamento de alto nível? A equipe de segurança do OpenSSL escreve em um post de blog que, em aproximadamente uma semana, as organizações testaram e forneceram feedback. Em algumas distribuições Linux, o estouro de 4 bytes possível com um ataque substituiu um buffer adjacente ainda não usado e, portanto, não poderia travar um sistema ou executar código. A outra vulnerabilidade só permitia que um invasor definisse a duração de um estouro, não o conteúdo.
Portanto, embora as falhas ainda sejam possíveis e algumas pilhas possam ser organizadas de maneira a possibilitar a execução remota de código, isso não é provável ou fácil, o que reduz as vulnerabilidades para “altas”. Os usuários de qualquer implementação OpenSSL 3.x, no entanto, devem corrigir o quanto antes. E todos devem estar atentos a atualizações de software e sistema operacional que possam corrigir esses problemas em vários subsistemas.
O serviço de monitoramento Datadog, em um bom resumo do problema, observa que sua equipe de pesquisa de segurança conseguiu travar uma implantação do Windows usando uma versão OpenSSL 3.x em uma prova de conceito. E embora as implantações do Linux provavelmente não sejam exploráveis, “uma exploração criada para implantações do Linux” ainda pode surgir.
O National Cyber Security Centrum of the Netherlands (NCSL-NL) tem uma lista de softwares vulneráveis à exploração OpenSSL 3.x em execução. Várias distribuições Linux populares, plataformas de virtualização e outras ferramentas estão listadas como vulneráveis ou sob investigação.
.
