Una vulnerabilidad de OpenSSL una vez señalada como el primer parche de nivel crítico desde que se acaba de parchear el error Heartbleed que remodeló Internet. En última instancia, llegó como una solución de seguridad «alta» para un desbordamiento de búfer, que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que conduzca a la ejecución remota de código.
La versión 3.0.7 de OpenSSL se anunció la semana pasada como una versión crítica de corrección de seguridad. Las vulnerabilidades específicas (ahora CVE-2022-37786 y CVE-2022-3602) se desconocían en gran medida hasta hoy, pero los analistas y las empresas en el campo de la seguridad web insinuaron que podría haber problemas notables y problemas de mantenimiento. Algunas distribuciones de Linux, incluida Fedora, retrasaron los lanzamientos hasta que el parche estuvo disponible. El gigante de distribución Akamai notó antes del parche que la mitad de sus redes monitoreadas tenían al menos una máquina con una instancia vulnerable de OpenSSL 3.x, y entre esas redes, entre el 0,2 y el 33 por ciento de las máquinas eran vulnerables.
Pero las vulnerabilidades específicas (desbordamientos del lado del cliente en circunstancias limitadas que son mitigados por el diseño de la pila en la mayoría de las plataformas modernas) ahora están parcheadas y calificadas como «Altas». Y con OpenSSL 1.1.1 todavía en su fase de soporte a largo plazo, OpenSSL 3.x no está tan extendido.
El experto en malware Marcus Hutchins señala una confirmación de OpenSSL en GitHub que detalla los problemas del código: «se corrigieron dos desbordamientos de búfer en funciones de decodificación de código insignificantes». Una dirección de correo electrónico maliciosa, verificada dentro de un certificado X.509, podría desbordar bytes en una pila, lo que provocaría un bloqueo o una posible ejecución remota del código, según la plataforma y la configuración.
Pero esta vulnerabilidad afecta principalmente a los clientes, no a los servidores, por lo que es probable que no siga el mismo tipo de restablecimiento de seguridad en Internet (y absurdo) de Heartbleed. Las VPN que utilizan OpenSSL 3.x podrían verse afectadas, por ejemplo, e idiomas como Node.js. El experto en ciberseguridad Kevin Beaumont señala que las protecciones de desbordamiento de pila en la mayoría de las configuraciones predeterminadas de las distribuciones de Linux deberían evitar la ejecución del código.
¿Qué cambió entre el anuncio de nivel crítico y el lanzamiento de alto nivel? El equipo de seguridad de OpenSSL escribe en una publicación de blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios. En algunas distribuciones de Linux, el desbordamiento de 4 bytes posible con un ataque sobrescribía un búfer adyacente que aún no se usaba y, por lo tanto, no podía bloquear un sistema ni ejecutar código. La otra vulnerabilidad solo permitía que un atacante estableciera la duración de un desbordamiento, no el contenido.
Por lo tanto, si bien aún son posibles los bloqueos, y algunas pilas podrían organizarse de manera que hagan posible la ejecución remota de código, no es probable ni fácil, lo que reduce las vulnerabilidades a «altas». Sin embargo, los usuarios de cualquier implementación de OpenSSL 3.x deben parchear lo antes posible. Y todos deberían buscar actualizaciones de software y sistema operativo que puedan solucionar estos problemas en varios subsistemas.
El servicio de monitoreo Datadog, en un buen resumen del problema, señala que su equipo de investigación de seguridad pudo bloquear una implementación de Windows usando una versión de OpenSSL 3.x en una prueba de concepto. Y aunque es probable que las implementaciones de Linux no sean explotables, aún podría surgir «un exploit diseñado para implementaciones de Linux».
El Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSL-NL) tiene una lista actualizada de software vulnerable al exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas se enumeran como vulnerables o bajo investigación.