Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado.
En la última semana de octubre de 2022, OpenSSL Project reveló dos vulnerabilidades encontradas en la biblioteca de OpenSSL. Tanto CVE-2022-360 como CVE-2022-3786 han sido etiquetados como problemas de gravedad "alta" con una puntuación CVSS de 8,8, solo 0,2 puntos por debajo de lo que necesitarían para ser considerados "críticos".
El problema radica en el proceso de verificación de certificados que realiza OpenSSL para la autenticación basada en certificados. La explotación de las vulnerabilidades podría permitir a un atacante lanzar un ataque de denegación de servicio (DoS) o incluso un ataque de ejecución remota de código. Ya se han publicado parches para las dos debilidades encontradas en OpenSSL v3.0.0 a v3.06.
¿Qué es OpenSSL?
OpenSSL es una utilidad de línea de comando de criptografía de código abierto ampliamente utilizada implementada para mantener seguro el intercambio de tráfico web entre un cliente y un servidor. Se utiliza para generar claves públicas y privadas, instalar certificados SSL/TLS, verificar información de certificados y proporcionar cifrado.
El problema salió a la luz el 17 de octubre de 2022 cuando Polar Bear reveló dos vulnerabilidades de alto nivel encontradas en OpenSSL versión 3.0.0 a 3.0.6 a OpenSSL Project. Las vulnerabilidades son CVE-2022-3602 y CVE-2022-3786.
El 25 de octubre de 2022, la noticia de las vulnerabilidades llegó a Internet. Mark Cox, ingeniero de software de Red Hat y vicepresidente de seguridad de Apache Software Foundation dio la noticia en un tweet.
¿Cómo puede un atacante explotar estas vulnerabilidades?
El par de vulnerabilidades CVE-2022-3602 y CVE-2022-3786 son propensos a ataque de desbordamiento de búfer que es un ataque cibernético en el que se abusa de los contenidos de la memoria del servidor para revelar información del usuario y claves privadas del servidor o ejecutar código remoto.
CVE-2022-3602
Esta vulnerabilidad permite que un atacante aproveche la saturación del búfer en la verificación del certificado X.509 en la verificación de restricciones de nombre. Esto sucede después de la verificación de la cadena de certificados y requiere una firma de CA en el certificado malicioso o la verificación del certificado para continuar a pesar de que no se haya podido asignar a un emisor de confianza.
Un atacante puede incorporar un esquema de phishing como crear una dirección de correo electrónico fabricada para desbordar cuatro bytes en la pila. Esto puede resultar en un ataque de denegación de servicio (DoS) en el que el servicio deja de estar disponible después de fallar, o el atacante puede realizar la ejecución remota de código, lo que significa que un código se ejecuta de forma remota para controlar la aplicación servidor.
Esta vulnerabilidad puede activarse si un cliente TLS auténtico se conecta a un servidor malicioso o si un servidor TLS auténtico se conecta a un cliente malicioso.
CVE-2022-3786
Esta vulnerabilidad se explota al igual que CVE-2022-3602. La única diferencia es que un atacante crea una dirección de correo electrónico maliciosa para desbordar una cantidad arbitraria de bytes que contienen el "." carácter (decimal 46). Sin embargo, en CVE-2022-3602, solo se explotan cuatro bytes controlados por el atacante.
Flashback de la notoria vulnerabilidad "Heartbleed"
En 2016, se descubrió un problema similar en OpenSSL al que se le otorgó una calificación de gravedad "crítica". Este fue un error en el manejo de la memoria que permitió a los atacantes comprometer claves secretas, contraseñas y otra información confidencial en servidores vulnerables. El infame insecto es conocido como Sangrado del corazón (CVE-2014-0160) y hasta el día de hoy, más de 200 000 máquinas se consideran vulnerables a esta debilidad.
¿Cuál es la solución?
En el mundo consciente de la seguridad cibernética actual, muchas plataformas implementan protecciones de desbordamiento de pila para mantener a raya a los atacantes. Esto proporciona la mitigación necesaria contra el desbordamiento del búfer.
La mitigación adicional contra estas vulnerabilidades implica la actualización a la última versión de OpenSSL. Como OpenSSL v3.0.0 a v3.0.6 es vulnerable, se recomienda actualizar a OpenSSL v3.0.7. Sin embargo, si usa OpenSSL v1.1.1 y v1.0.2, puede continuar usando estas versiones ya que no se ven afectadas por las dos vulnerabilidades.
Las dos vulnerabilidades son difíciles de explotar
Las posibilidades de que se abuse de estas vulnerabilidades son bajas porque una de las condiciones es un certificado con formato incorrecto firmado por una CA de confianza. Debido al panorama de ataques cada vez mayor, la mayoría de los sistemas modernos se aseguran de implementar mecanismos de seguridad integrados para evitar este tipo de ataques.
La ciberseguridad es una necesidad en el mundo actual, con mecanismos de protección integrados y avanzados, vulnerabilidades como estas son difíciles de explotar. Gracias a las actualizaciones de seguridad lanzadas por OpenSSL a tiempo, no necesita preocuparse por estas vulnerabilidades. Simplemente tome las medidas necesarias, como parchear su sistema e implementar buenas capas de seguridad, y estará seguro de usar OpenSSL.