Una vulnerabilidad de OpenSSL que en su día fue señalada como el primer parche de nivel crítico desde el fallo Heartbleed, que ha afectado a Internet, acaba de ser parcheada. Al final llegó como una corrección de seguridad "alta" para un desbordamiento de búfer, que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que conduzca a la ejecución remota de código.

La versión 3.0.7 de OpenSSL se anunció la semana pasada como una versión de corrección de seguridad crítica. Las vulnerabilidades concretas (ahora CVE-2022-37786 y CVE-2022-3602) se desconocían en gran medida hasta hoy, pero los analistas y las empresas del ámbito de la seguridad web insinuaron que podría haber problemas notables y dolores de mantenimiento. Algunas distribuciones de Linux, entre ellas Fedora, retrasaron sus lanzamientos hasta que el parche estuviera disponible. El gigante de la distribución Akamai señaló antes del parche que la mitad de sus redes monitorizadas tenían al menos una máquina con una instancia vulnerable de OpenSSL 3.x y entre esas redes, entre el 0,2 y el 33% de las máquinas eran vulnerables.

Pero las vulnerabilidades específicas (circunstancias limitadas, desbordamientos del lado del cliente que se mitigan por la disposición de la pila en la mayoría de las plataformas modernas) están ahora parcheadas y calificadas como "altas". Y con OpenSSL 1.1.1 todavía en su fase de soporte a largo plazo, OpenSSL 3.x no está tan extendido.

El experto en malware Marcus Hutchins señala un commit de OpenSSL en GitHub que detalla los problemas del código: "se han corregido dos desbordamientos de búfer en funciones de descodificación de código punitivo". Una dirección de correo electrónico maliciosa, verificada dentro de un certificado X.509, podría desbordar los bytes de una pila, lo que provocaría un fallo o una posible ejecución remota de código, dependiendo de la plataforma y la configuración.

Pero esta vulnerabilidad afecta sobre todo a los clientes, no a los servidores, por lo que no es probable que se produzca el mismo tipo de restablecimiento de la seguridad en todo Internet (y el absurdo) de Heartbleed. Las VPN que utilizan OpenSSL 3.x podrían verse afectadas, por ejemplo y lenguajes como Node.js. El experto en ciberseguridad Kevin Beaumont señala que las protecciones contra desbordamientos de pila en las configuraciones por defecto de la mayoría de las distribuciones de Linux deberían impedir la ejecución de código.

¿Qué ha cambiado entre el anuncio del nivel crítico y la publicación del nivel alto? El equipo de seguridad de OpenSSL escribe en una entrada del blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios. En algunas distribuciones de Linux, el desbordamiento de 4 bytes posible con un ataque sobrescribía un búfer adyacente aún no utilizado, por lo que no podía bloquear un sistema ni ejecutar código. La otra vulnerabilidad sólo permitía a un atacante establecer la longitud de un desbordamiento, no el contenido.

Así que, aunque los bloqueos siguen siendo posibles y algunas pilas podrían estar dispuestas de forma que fuera posible la ejecución remota de código, no es probable ni fácil, lo que rebaja las vulnerabilidades a "alta". Los usuarios de cualquier implementación de OpenSSL 3.x, sin embargo, deberían parchear lo antes posible. Y todo el mundo debería estar atento a las actualizaciones de software y del sistema operativo que puedan parchear estos problemas en varios subsistemas.

El servicio de monitorización Datadog, en un buen resumen del problema, señala que su equipo de investigación de seguridad fue capaz de bloquear una implementación de Windows utilizando una versión 3.x de OpenSSL en una prueba de concepto. Y aunque no es probable que las implantaciones de Linux puedan ser explotadas, aún podría surgir "un exploit diseñado para implantaciones de Linux".

El Centro Nacional de Ciberseguridad de los Países Bajos (NCSL-NL) tiene una lista de software vulnerable al exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas aparecen como vulnerables o bajo investigación.