Des lecteurs comme vous aident à soutenir MUO. Lorsque vous effectuez un achat en utilisant des liens sur notre site, nous pouvons gagner une commission d'affiliation.
Au cours de la dernière semaine d'octobre 2022, OpenSSL Project a révélé deux vulnérabilités trouvées dans la bibliothèque OpenSSL. CVE-2022-360 et CVE-2022-3786 ont tous deux été étiquetés comme des problèmes de gravité "élevée" avec un score CVSS de 8,8, seulement 0,2 point de moins que ce dont ils auraient besoin pour être considérés comme "critiques".
Le problème réside dans le processus de vérification des certificats qu'OpenSSL effectue pour l'authentification basée sur les certificats. L'exploitation des vulnérabilités pourrait permettre à un attaquant de lancer une attaque par déni de service (DoS) ou même par exécution de code à distance. Des correctifs pour les deux faiblesses trouvées dans OpenSSL v3.0.0 à v3.06 ont maintenant été publiés.
Qu'est-ce qu'OpenSSL ?
OpenSSL est un utilitaire de ligne de commande de cryptographie open source largement utilisé, mis en œuvre pour sécuriser l'échange de trafic Web entre un client et un serveur. Il est utilisé pour générer des clés publiques et privées, installer des certificats SSL/TLS, vérifier les informations de certificat et fournir un cryptage.
Le problème est apparu le 17 octobre 2022 lorsque Polar Bear a divulgué deux vulnérabilités de haut niveau trouvées dans les versions 3.0.0 à 3.0.6 d'OpenSSL à OpenSSL Project. Les vulnérabilités sont CVE-2022-3602 et CVE-2022-3786.
Le 25 octobre 2022, la nouvelle des vulnérabilités est arrivée sur Internet. Mark Cox, ingénieur logiciel chez Red Hat et vice-président de la sécurité d'Apache Software Foundation, a annoncé la nouvelle dans un tweet.
Comment un attaquant peut-il exploiter ces vulnérabilités ?
La paire de vulnérabilités CVE-2022-3602 et CVE-2022-3786 est sujette à attaque par débordement de tampon qui est une cyber-attaque dans laquelle le contenu de la mémoire du serveur est abusé pour révéler des informations sur l'utilisateur et les clés privées du serveur ou pour exécuter du code à distance.
CVE-2022-3602
Cette vulnérabilité permet à un attaquant de profiter du dépassement de mémoire tampon lors de la vérification des certificats X.509 lors de la vérification des contraintes de nom. Cela se produit après la vérification de la chaîne de certificats et nécessite une signature CA sur le certificat malveillant ou la vérification du certificat pour continuer malgré l'échec du mappage vers un émetteur de confiance.
Un attaquant peut incorporer un stratagème de phishing comme créer une adresse e-mail fabriquée pour déborder de quatre octets sur la pile. Cela peut entraîner une attaque par déni de service (DoS) dans laquelle le service devient indisponible après un crash, ou l'attaquant peut effectuer une exécution de code à distance, ce qui signifie qu'un code est exécuté à distance pour contrôler l'application serveur.
Cette vulnérabilité peut être déclenchée si un client TLS authentique se connecte à un serveur malveillant ou si un serveur TLS authentique se connecte à un client malveillant.
CVE-2022-3786
Cette vulnérabilité est exploitée tout comme CVE-2022-3602. La seule différence est qu'un attaquant crée une adresse e-mail malveillante pour déborder d'un nombre arbitraire d'octets contenant le "." caractère (décimal 46). Cependant, dans CVE-2022-3602, seuls quatre octets contrôlés par l'attaquant sont exploités.
Le fameux flashback de la vulnérabilité "Heartbleed"
En 2016, un problème similaire a été découvert dans OpenSSL qui a reçu une cote de gravité « Critique ». Il s'agissait d'un bogue de gestion de la mémoire qui permettait aux attaquants de compromettre des clés secrètes, des mots de passe et d'autres informations sensibles sur des serveurs vulnérables. Le bogue infâme est connu sous le nom de Heartbleed (CVE-2014-0160) et à ce jour, plus de 200 000 machines sont jugées vulnérables à cette faiblesse.
Quel est le correctif ?
Dans le monde d'aujourd'hui, conscient de la cybersécurité, de nombreuses plates-formes mettent en œuvre des protections contre le débordement de pile pour tenir les attaquants à distance. Cela fournit l'atténuation nécessaire contre le débordement de mémoire tampon.
Une atténuation supplémentaire de ces vulnérabilités implique la mise à niveau vers la dernière version publiée d'OpenSSL. Comme OpenSSL v3.0.0 à v3.0.6 est vulnérable, il est recommandé de mettre à niveau vers OpenSSL v3.0.7. Cependant, si vous utilisez OpenSSL v1.1.1 et v1.0.2, vous pouvez continuer à utiliser ces versions car elles ne sont pas affectées par les deux vulnérabilités.
Les deux vulnérabilités sont difficiles à exploiter
Les risques d'abus de ces vulnérabilités sont faibles car l'une des conditions est un certificat mal formé signé par une autorité de certification de confiance. En raison du paysage d'attaques en constante augmentation, la plupart des systèmes modernes s'assurent de mettre en œuvre des mécanismes de sécurité intégrés pour éviter ces types d'attaques.
La cybersécurité est une nécessité dans le monde d'aujourd'hui, avec des mécanismes de protection intégrés et avancés, des vulnérabilités comme celles-ci sont difficiles à exploiter. Grâce aux mises à jour de sécurité publiées par OpenSSL à temps, vous n'avez pas à vous soucier de ces vulnérabilités. Prenez simplement les mesures nécessaires, comme patcher votre système et implémenter de bonnes couches de sécurité, et vous pourrez utiliser OpenSSL en toute sécurité.