OpenSSL schaalt kwetsbaarheid (CVE-2022-3602) af van kritiek naar high

[Captain Kirk]

OpenSSL heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid in OpenSSL 3.0 die eerst als kritiek was aangekondigd, maar vanwege mitigerende maatregelen is afgeschaald naar het lagere impactniveau "High". Via de kwetsbaarheid (CVE-2022-3602) kan een aanvaller een denial of service veroorzaken of in potentie op afstand code uitvoeren. Veel platformen maken echter gebruik van beveiligingsmaatregelen die dergelijke remote code execution moeten voorkomen, aldus het OpenSSL Project Team.

OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde. De ontwikkelaars laten van tevoren weten wanneer beveiligingsupdates voor OpenSSL uitkomen en wat daarvan de impact is. Vorige week werd aangekondigd dat een kritieke kwetsbaarheid zou worden verholpen. Een beveiligingslek met een dergelijke impact is pas één keer eerder in de software verholpen, namelijk in 2016.

Tal van securitybedrijven en overheidsinstanties riepen organisaties dan ook op om zich voor te bereiden, ook al speelt het probleem alleen in OpenSSL 3.0, dat veel minder wordt gebruikt dan OpenSSL 1.1.1. Nu laat het OpenSSL Project Team weten dat er twee kwetsbaarheden in OpenSSL 3.0 zijn verholpen die beide een "high" impact hebben. Dit is het één na hoogste impactniveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit.

De twee nu verholpen kwetsbaarheden, CVE-2022-3602 en CVE-2022-3786, doen zich voor bij de verificatie van X.509-certificaten. Door middel van een speciaal geprepareerd e-mailadres kan een aanvaller een buffer overrun veroorzaken wat voor een crash van de server kan zorgen. Hiervoor zou een certificaatautoriteit wel eerst een malafide certificaat moeten hebben gesigneerd of een applicatie moeten blijven proberen om een certificaat te verifiëren, ook al is het niet mogelijk om dit bij een vertrouwde uitgever te controleren.

In het geval van een TLS-client is de aanval mogelijk wanneer er met een malafide server verbinding wordt gemaakt. Bij een TLS-server is het mogelijk wanneer de server aan clients vraagt zich te authenticeren en een malafide client verbinding maakt.

Via CVE-2022-3602 zou ook remote code execution mogelijk zijn. Veel platformen maken echter gebruik van stack overflow-beveiliging, wat tegen het risico van een dergelijke aanval beschermt. Vanwege deze mitigerende factoren is de kwetsbaarheid lager ingeschaald. Desondanks worden organisaties opgeroepen om de update naar OpenSSL 3.0.7 wel te installeren. Het Nationaal Cyber Security Centrum (NCSC) houdt een lijst van kwetsbare applicaties bij, aangezien OpenSSL door veel programma's wordt gebruikt. Ook deze programma's zullen de komende tijd met updates komen.

 

bron: https://www.security.nl