功夫:2022-11-02 作者:ca88登陆平台CERT

ca88登陆平台CERT
致力于第一功夫为企业级用户提供安全风险公告和有效解决规划。。。。。。
安全公告
OpenSSL是用于传输层安全(TLS)和谈(以前称为安全套接字层(SSL)和谈)的壮大、贸易级、职能齐全的开源工具包,,,,,和谈实现基于全强度通用密码库,,,,,用于保;;;;;;;ね扑慊缟系耐ㄑ见馐芮蕴,,,,被互联网服务器宽泛使用(蕴含大无数HTTPS网站)。。。。。。
近日,,,,,ca88登陆平台CERT监测到OpenSSL官方颁布了缝隙安全更新,,,,,蕴含OpenSSL回绝服务缝隙(CVE-2022-3786)和OpenSSL远程代码执行缝隙(CVE-2022-3602),,,,,攻击者利用CVE-2022-3786缝隙,,,,,造作蕴含恶意电子邮件地址的证书,,,,,以溢出蕴含"."的肆意字节数,,,,,此缓冲区溢出可能导致服务崩溃。。。。。。CVE-2022-3602缝隙存在于ossl_punycode_decode函数,,,,,当客户端或服务器配置为验证X.509证书时挪用此函数,,,,,攻击者能够通过在电子邮件地址字段的域中创建蕴含punycode的特造证书来利用该缝隙,,,,,可能导致服务崩溃;;;;;;;蚯痹诘脑冻檀胫葱幼。。。。。
由于CVE-2022-3602可能引发远程代码执行,,,,,官方在预先布告中将其视为“严沉”缝隙,,,,,由于好多平台已经实现了仓库溢出保;;;;;;;ぃ,,,,能够降低远程代码执行利用风险,,,,,所以此缝隙被降级为“高危”缝隙。。。。。。
此前有多篇文章将CVE-2022-3602缝隙与2014年的HeartBleed等量齐观,,,,,引起大量安全人员的关注,,,,,由于此缝隙利用前提前提是必须配置客户端或服务器以验证证书中恶意电子邮件地址,,,,,同时仅影响OpenSSL3.x,,,,,进一步限度了缝隙的利用领域,,,,,这次更新的缝隙可能不像HeartBleed那样容易可被宽泛利用,,,,,所以用户不用过于发急,,,,,但仍建议尽快升级到安全版本。。。。。。
ca88登陆平台CERT第一功夫分析并复现了OpenSSL远程代码执行缝隙(CVE-2022-3602),,,,,复现截图如下:

威胁评估
措置建议
一、OpenSSL3.x产品检测规定
1.YARA检测规定
(1)OpenSSL的所有静态编译都蕴含一个版本字符串,,,,,如'OpenSSL3.0.62022年10月11日',,,,,其中3.0.6是版本号,,,,,以下规定重要检测其中的字符串。。。。。。
ruleopenssl_version{
strings:
$re1=/OpenSSL\s3\.[0-6]{1}\.[0-9]{1}[a-z]{,1}/
condition:
$re1
(2)该规定思路重要是查找依赖OpenSSL的主利用法式,,,,,但解析可执行文件的导入。。。。。。
import"elf"
import"pe"
ruleelf_import_openssl{
condition:
(elf.type==elf.ET_EXECorelf.type==elf.ET_DYN)and
foranyiin(0..elf.symtab_entries):
elf.symtab[i].namecontains"@OPENSSL_3"
rulepe_import_openssl{
condition:
pe.is_peand
foranyiin(0..pe.number_of_imports):
pe.import_details[i].library_namecontains"libcrypto-3"orpe.import_details[i].library_namecontains"libssl-3"
2.OSQuery查问
利用Osquery的YARA表在所有在运行的过程上运行以下规定。。。。。。
WITHFIRST_QUERYAS(SELECTDISTINCT
proc.pid,
proc.path,
proc.cmdline,
proc.cwd,
mmap.pathASmmap_path
FROMprocess_memory_mapASmmap
LEFTJOINprocessesASprocUSING(pid))
SELECT*
FROMFIRST_QUERY
JOINyaraONyara.path=FIRST_QUERY.mmap_path
WHEREsigrule='ruleopenssl_3{
strings:
$re1=/OpenSSL\s3\.[0-6]{1}\.[0-9]{1}[a-z]{,1}/
condition:
$re1
'
ANDyara.count>0
更多缝隙支持参考:https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare
二、缝隙影响产品排查
由于OpenSSL是一个主题的开源组件,,,,,好多软件或产品可能会受到影响,,,,,用户必要实时关注已使用软件的安全布告,,,,,目前部门厂商已经颁布自身产品受影响的有关布告:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0023
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a
三、版本升级
目前OpenSSL官方已正式颁布建复版本,,,,,建议受影响用户尽快升级至安全版本。。。。。。
OpenSSL3.x升级到3.0.7版本,,,,,可从地址中下载升级:https://www.openssl.org/source/mirror.html
注:若使用的利用法式自行打包OpenSSL时,,,,,例如Node.js17.x、18.x或19.x,,,,,则必要升级利用法式自身。。。。。。
参考资料
[1]https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
[2]https://www.helpnetsecurity.com/2022/10/25/cve-2022-42827/
[3]https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md
[4]https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
[5]https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=c42165b5706e42f67ef8ef4c351a9a4c5d21639a
[6]https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fe3b639dc19b325846f4f6801f2f4604f56e3de3
[7]https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare
[8]https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/
[9]https://github.com/DataDog/security-labs-pocs/tree/main/proof-of-concept-exploits/openssl-punycode-vulnerability
[10]https://www.openssl.org/news/vulnerabilities.html
[11]https://www.openssl.org/news/secadv/20221101.txt
[12]https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0023
[13]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a
[14]https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
功夫线
2022年11月2日,,,,,ca88登陆平台CERT颁布安全风险公告。。。。。。
到ca88登陆平台NOX-安全监测平台查问更多缝隙详情
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打