Agrandir / Les retombées d’une vulnérabilité OpenSSL, initialement répertoriée comme “critique”, devraient être bien moins sévères que celles du dernier bug OpenSSL critique, Heartbleed.
Une vulnérabilité OpenSSL autrefois signalée comme le premier correctif de niveau critique depuis le bogue Heartbleed de remodelage d’Internet vient d’être corrigé. Il est finalement arrivé comme un correctif de sécurité “élevé” pour un débordement de tampon, qui affecte toutes les installations d’OpenSSL 3.x, mais qui est peu susceptible de conduire à l’exécution de code à distance.
La version 3.0.7 d’OpenSSL a été annoncée la semaine dernière en tant que version de correctif de sécurité critique. Les vulnérabilités spécifiques (maintenant CVE-2022-37786 et CVE-2022-3602) étaient largement inconnues jusqu’à aujourd’hui, mais les analystes et les entreprises du domaine de la sécurité Web ont laissé entendre qu’il pourrait y avoir des problèmes notables et des problèmes de maintenance. Certaines distributions Linux, y compris Fedora, ont retardé les versions jusqu’à ce que le correctif soit disponible. Le géant de la distribution Akamai a noté avant le patch que la moitié de leurs réseaux surveillés avaient au moins une machine avec une instance OpenSSL 3.x vulnérable, et parmi ces réseaux, entre 0,2 et 33 % des machines étaient vulnérables.
Mais les vulnérabilités spécifiques – des débordements côté client dans des circonstances limitées qui sont atténuées par la disposition de la pile sur la plupart des plates-formes modernes – sont désormais corrigées et classées comme “élevées”. Et avec OpenSSL 1.1.1 toujours dans sa phase de support à long terme, OpenSSL 3.x n’est pas aussi répandu.
L’expert en logiciels malveillants Marcus Hutchins pointe vers un commit OpenSSL sur GitHub qui détaille les problèmes de code : “correction de deux dépassements de mémoire tampon dans les fonctions de décodage de code chétives”. Une adresse e-mail malveillante, vérifiée dans un certificat X.509, pourrait déborder d’octets sur une pile, entraînant un plantage ou potentiellement l’exécution de code à distance, selon la plate-forme et la configuration.
Publicité
Mais cette vulnérabilité affecte principalement les clients, pas les serveurs, donc le même type de réinitialisation de sécurité à l’échelle d’Internet (et d’absurdité) de Heartbleed ne suivra probablement pas. Les VPN qui utilisent OpenSSL 3.x pourraient être affectés, par exemple, et des langages comme Node.js. L’expert en cybersécurité Kevin Beaumont souligne que les protections contre le débordement de pile dans les configurations par défaut de la plupart des distributions Linux devraient empêcher l’exécution de code.
Qu’est-ce qui a changé entre l’annonce de niveau critique et la version de haut niveau ? L’équipe de sécurité d’OpenSSL écrit dans un article de blog qu’en une semaine environ, les organisations ont testé et fourni des commentaires. Sur certaines distributions Linux, le débordement de 4 octets possible avec une attaque écrasait un tampon adjacent non encore utilisé, et ne pouvait donc pas planter un système ou exécuter du code. L’autre vulnérabilité permettait uniquement à un attaquant de définir la durée d’un débordement, pas le contenu.
Ainsi, bien que des plantages soient toujours possibles et que certaines piles puissent être organisées de manière à rendre possible l’exécution de code à distance, ce n’est ni probable ni facile, ce qui réduit les vulnérabilités à “élevées”. Cependant, les utilisateurs de toute implémentation OpenSSL 3.x doivent corriger dès que possible. Et tout le monde devrait rechercher les mises à jour logicielles et du système d’exploitation susceptibles de corriger ces problèmes dans divers sous-systèmes.
Le service de surveillance Datadog, dans un bon résumé du problème, note que son équipe de recherche en sécurité a pu planter un déploiement Windows en utilisant une version OpenSSL 3.x dans une preuve de concept. Et bien que les déploiements Linux ne soient probablement pas exploitables, “un exploit conçu pour les déploiements Linux” pourrait encore émerger.
Le Centre national de cybersécurité des Pays-Bas (NCSL-NL) dispose d’une liste courante de logiciels vulnérables à l’exploit OpenSSL 3.x. De nombreuses distributions Linux populaires, plates-formes de virtualisation et autres outils sont répertoriés comme vulnérables ou sous enquête.
