OpenSSL projesi, iletişim kanallarını ve HTTPS bağlantılarını şifrelemek için kullanılan açık kaynaklı şifreleme kütüphanesinde iki yüksek şiddetli güvenlik kusurunu yamaladı.
Güvenlik açıkları (CVE-2022-3602 ve CVE-2022-3786) OpenSSL sürüm 3.0.0 ve sonraki sürümleri etkiler ve OpenSSL 3.0.7'de ele alınmıştır.
CVE-2022-3602, kazaları tetikleyebilen veya uzaktan kod yürütmesine (RCE) yol açabilecek keyfi 4 baytlık bir yığın arabellek taşmasıdır, CVE-2022-3786, hizmet durumu reddini tetiklemek için kötü niyetli e-posta adresleri aracılığıyla saldırganlar tarafından kullanılabilir. bir arabellek taşması yoluyla.
OpenSSL ekibi, "Bu konuların hala ciddi güvenlik açıkları olduğunu düşünüyoruz ve etkilenen kullanıcıların mümkün olan en kısa sürede yükseltmeye teşvik edildiğini düşünüyoruz." Dedi.
Diyerek şöyle devam etti: "Uzaktan kod yürütülmesine yol açabilecek herhangi bir çalışma istismarının farkında değiliz ve bu görevin yayınlandığı zamandan itibaren bu sorunların sömürüldüğüne dair hiçbir kanıtımız yok."
Açık SSL'nin politikası uyarınca, kuruluşlar ve BT yöneticileri 25 Ekim'den bu yana, savunmasız örnekler için ortamlarını aramak ve Openssl 3.0.7 yayınlandığında bunları yamaya hazırlamak için uyarılmıştır.
Cox, "OpenSSL 3.0+ nerede kullandığınızı önceden biliyorsanız ve nasıl kullandığınızı biliyorsanız, danışmanlık geldiğinde ve nasıl etkilenip etkilenmediğinizi ve nasıl yamalamanız gerektiğini hızlı bir şekilde belirleyebilirsiniz." Dedi.
OpenSSL ayrıca, yamalar uygulanana kadar TLS istemci kimlik doğrulamasını devre dışı bırakmak için TLS sunucularını işleten yöneticiler gerektiren azaltma önlemleri sağlar.
İlk uyarı, yöneticileri kusuru azaltmak için derhal harekete geçmeye teşvik ederken, CVE-2022-3602'nin (başlangıçta kritik olarak derecelendirilmiş) yüksek şiddete düşürüldüğü ve sadece OpenSSL 3.0 ve sonraki durumları etkilediği göz önüne alındığında, gerçek etki çok daha sınırlıdır. .
Yakın zamanda yayınlanan bu sürümler, OpenSSL kütüphanesinin önceki sürümlerine kıyasla üretimde kullanılan yazılıma da yoğun bir şekilde dağıtılmamıştır.
Buna ek olarak, bazı güvenlik uzmanları ve satıcıları, bu güvenlik açığının keşfini Apache Log4J günlük kütüphanesindeki Log4shell kusuruyla eşitlemelerine rağmen, toplam 1.793.000'den fazla benzersiz ana bilgisayardan savunmasız openssl versiyonları çalıştıran kabaca 7.000 internete maruz kalan sistemler, Censys Online - Shodan, yaklaşık 16.000 halka açık OpenSSL örneğini listeler.
Bulut güvenlik firması Wiz.io ayrıca, tüm OpenSSL örneklerinin sadece% 1.5'inin, büyük bulut ortamlarında (yani AWS, GCP, Azure, OCI ve Alibaba bulut) dağıtımları analiz ettikten sonra bu güvenlik kusurundan etkilendiğini söyledi.
Hollanda Ulusal Siber Güvenlik Merkezi, bu OpenSSL güvenlik açığından etkilenen (BM) doğrulanan bir yazılım ürünleri listesini sürdürmektedir.
En son OpenSSL sürümleri, RedHat Enterprise Linux 9, Ubuntu 22.04+, Centos Stream9, Kali 2022.3, Debian 12 ve Fedora 36 ile siberlik şirketi Akamai tarafından savunmasız olarak etiketlenen çoklu popüler Linux dağıtımlarının en son sürümlerinde yer alıyor.
Akamai ayrıca güvenlik ekiplerinin savunmasız varlıklar bulmasına ve güvenlik güncellemesi yayınlandıktan sonra bunları yama için sıraya koymalarına yardımcı olmak için Osquery ve Yara kurallarını paylaştı.
Microsoft, Azure Cosmos DB'yi etkileyen kritik RCE kusurunu düzeltir
ConnectWise, binlerce sunucuyu saldırıya maruz bırakarak RCE hatasını düzeltiyor
Google, Yedinci Chrome Sıfır Gününü Saldırı Saldırılarında Bu Yıl Saldırılar
Cisco, saldırılarda sömürülen anyconnect kusurlarını Patch'e uyarmak için uyarıyor
Binlerce GitHub depoları, kötü amaçlı yazılımlarla sahte POC istismarları sunar
Kaynak: Bleeping Computer