ca88登陆平台

OpenSSL多个缝隙安全风险公告第二次更新

功夫:2022-11-03 作者:ca88登陆平台CERT

分享到:

OpenSSL多个缝隙安全风险公告第二次更新

    ca88登陆平台CERT

    致力于第一功夫为企业级用户提供安全风险公告和有效解决规划。。。。。。。。

    安全公告

    OpenSSL是用于传输层安全(TLS)和谈(以前称为安全套接字层(SSL)和谈)的壮大、贸易级、职能齐全的开源工具包,,,,,和谈实现基于全强度通用密码库,,,,,用于;;;; ;;;ね扑慊缟系耐ㄑ见馐芮蕴,,,,被互联网服务器宽泛使用(蕴含大无数HTTPS网站)。。。。。。。。

    近日,,,,,ca88登陆平台CERT监测到OpenSSL官方颁布了缝隙安全更新,,,,,蕴含OpenSSL回绝服务缝隙(CVE-2022-3786)和OpenSSL远程代码执行缝隙(CVE-2022-3602),,,,,攻击者利用CVE-2022-3786缝隙,,,,,造作蕴含恶意电子邮件地址的证书,,,,,以溢出蕴含"."的肆意字节数,,,,,此缓冲区溢出可能导致服务崩溃。。。。。。。。CVE-2022-3602缝隙存在于ossl_punycode_decode函数,,,,,当客户端或服务器配置为验证X.509证书时挪用此函数,,,,,攻击者能够通过在电子邮件地址字段的域中创建蕴含punycode的特造证书来利用该缝隙,,,,,可能导致服务崩;;;; ;;;蚯痹诘脑冻檀胫葱。。。。。。。。

    由于CVE-2022-3602可能引发远程代码执行,,,,,官方在预先布告中将其视为“严沉”缝隙,,,,,由于好多平台已经实现了仓库溢出;;;; ;;;ぃ,,,,能够降低远程代码执行利用风险,,,,,所以此缝隙被降级为“高危”缝隙。。。。。。。。

    此前有多篇文章将CVE-2022-3602缝隙与2014年的HeartBleed等量齐观,,,,,引起大量安全人员的关注,,,,,由于此缝隙利用前提前提是必须配置客户端或服务器以验证证书中恶意电子邮件地址,,,,,同时仅影响OpenSSL3.x进一步限度了缝隙的利用领域,,,,,这次更新的缝隙可能不像HeartBleed那样容易可被宽泛利用,,,,,所以用户不用过于发急,,,,,但仍建议尽快升级到安全版本。。。。。。。。

    本次更新内容:

    新增开源Snort检测规定

    新增产品线解决规划

    更新复现截图

    ca88登陆平台CERT第一功夫分析并复现了OpenSSL远程代码执行缝隙(CVE-2022-3602)和OpenSSL回绝服务缝隙(CVE-2022-3786),,,,,复现截图如下:

    OpenSSL远程代码执行缝隙(CVE-2022-3602):

OpenSSL多个缝隙安全风险公告第二次更新

    OpenSSL回绝服务缝隙(CVE-2022-3786):

OpenSSL多个缝隙安全风险公告第二次更新

    威胁评估

    措置建议

    一、OpenSSL3.x产品检测规定

    1.YARA检测规定

    (1)OpenSSL的所有静态编译都蕴含一个版本字符串,,,,,如'OpenSSL3.0.62022年10月11日',,,,,其中3.0.6是版本号,,,,,以下规定重要检测其中的字符串。。。。。。。。

    ruleopenssl_version{

    strings:

    $re1=/OpenSSL\s3\.[0-6]{1}\.[0-9]{1}[a-z]{,1}/

    condition:

    $re1

    (2)该规定思路重要是查找依赖OpenSSL的主利用法式,,,,,但解析可执行文件的导入。。。。。。。。

    import"elf"

    import"pe"

    ruleelf_import_openssl{

    condition:

    (elf.type==elf.ET_EXECorelf.type==elf.ET_DYN)and

    foranyiin(0..elf.symtab_entries):

    elf.symtab[i].namecontains"@OPENSSL_3"

    rulepe_import_openssl{

    condition:

    pe.is_peand

    foranyiin(0..pe.number_of_imports):

    pe.import_details[i].library_namecontains"libcrypto-3"orpe.import_details[i].library_namecontains"libssl-3"

    2.OSQuery查问

    利用Osquery的YARA表在所有在运行的过程上运行以下规定。。。。。。。。

    WITHFIRST_QUERYAS(SELECTDISTINCT

    proc.pid,

    proc.path,

    proc.cmdline,

    proc.cwd,

    mmap.pathASmmap_path

    FROMprocess_memory_mapASmmap

    LEFTJOINprocessesASprocUSING(pid))

    SELECT*

    FROMFIRST_QUERY

    JOINyaraONyara.path=FIRST_QUERY.mmap_path

    WHEREsigrule='ruleopenssl_3{

    strings:

    $re1=/OpenSSL\s3\.[0-6]{1}\.[0-9]{1}[a-z]{,1}/

    condition:

    $re1

    '

    ANDyara.count>0

    更多缝隙支持参考:https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare

    3.开源Snort检测规定

    alerttcp$HOME_NETany->anyany(msg:"ETEXPLOITPossibleOpenSSLPunycodeEmailAddressBufferOverflowAttemptOutbound(CVE-2022-3602)";flow:established,to_server;content:"|0603551d1e|";content:"xn--";fast_pattern;within:30;byte_test:2,>,513,-6,relative;reference:url,www.openssl.org/news/secadv/20221101.txt;reference:cve,2022-3602;classtype:attempted-admin;sid:2039619;rev:1;metadata:attack_targetServer,created_at2022_11_02,cveCVE_2022_3602,deploymentPerimeter,former_categoryEXPLOIT,performance_impactSignificant,signature_severityMajor,updated_at2022_11_02;)

    alerttcp$EXTERNAL_NETany->$HOME_NETany(msg:"ETEXPLOITPossibleOpenSSLPunycodeEmailAddressBufferOverflowAttemptInbound(CVE-2022-3602)";flow:established,to_client;content:"|0603551d1e|";content:"xn--";fast_pattern;within:30;byte_test:2,>,513,-6,relative;reference:url,www.openssl.org/news/secadv/20221101.txt;reference:cve,2022-3602;classtype:attempted-admin;sid:2039618;rev:1;metadata:attack_targetServer,created_at2022_11_01,cveCVE_2022_3602,deploymentPerimeter,former_categoryEXPLOIT,performance_impactSignificant,signature_severityMajor,updated_at2022_11_02;)

    二、缝隙影响产品排查

    由于OpenSSL是一个主题的开源组件,,,,,好多软件或产品可能会受到影响,,,,,用户必要实时关注已使用软件的安全布告,,,,,目前部门厂商已经颁布自身产品受影响的有关布告:

    https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0023

    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a

    三、版本升级

    目前OpenSSL官方已正式颁布建复版本,,,,,建议受影响用户尽快升级至安全版本。。。。。。。。

    OpenSSL3.x升级到3.0.7版本,,,,,可从地址中下载升级:https://www.openssl.org/source/mirror.html

    注:若使用的利用法式自行打包OpenSSL时,,,,,例如Node.js17.x、18.x或19.x,,,,,则必要升级利用法式自身。。。。。。。。

    产品解决规划

    ca88登陆平台天眼检测规划

    ca88登陆平台天眼新一代安全感知系统已经可能有效检测针对该缝隙的攻击,,,,,请将规定版本升级到3.0.1102.13617或以上版本。。。。。。。。规定ID及规定名称:0x5f10,,,,,OpenSSL缓冲区溢露马脚(CVE-2022-3602)。。。。。。。。ca88登陆平台天眼流量探针规定升级步骤:系统配置->设备升级->规定升级,,,,,选择“网络升级”或“本地升级”。。。。。。。。

    参考资料

    [1]https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

    [2]https://www.helpnetsecurity.com/2022/10/25/cve-2022-42827/

    [3]https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md

    [4]https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

    [5]https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=c42165b5706e42f67ef8ef4c351a9a4c5d21639a

    [6]https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fe3b639dc19b325846f4f6801f2f4604f56e3de3

    [7]https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare

    [8]https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/

    [9]https://github.com/DataDog/security-labs-pocs/tree/main/proof-of-concept-exploits/openssl-punycode-vulnerability

    [10]https://www.openssl.org/news/vulnerabilities.html

    [11]https://www.openssl.org/news/secadv/20221101.txt

    [12]https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0023

    [13]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-W9sdCc2a

    [14]https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

    功夫线

    2022年11月2日,,,,,ca88登陆平台CERT颁布安全风险公告;;;; ;;;

    2022年11月3日,,,,,ca88登陆平台CERT颁布安全风险公告第二次更新。。。。。。。。

    到ca88登陆平台NOX-安全监测平台查问更多缝隙详情

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】