Una vulnerabilidad de OpenSSL que en su dÃa fue señalada como el primer parche de nivel crÃtico desde el fallo Heartbleed, que ha afectado a Internet, acaba de ser parcheada. Al final llegó como una corrección de seguridad "alta" para un desbordamiento de búfer, que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que conduzca a la ejecución remota de código.
La versión 3.0.7 de OpenSSL se anunció la semana pasada como una versión de corrección de seguridad crÃtica. Las vulnerabilidades concretas (ahora CVE-2022-37786 y CVE-2022-3602) se desconocÃan en gran medida hasta hoy, pero los analistas y las empresas del ámbito de la seguridad web insinuaron que podrÃa haber problemas notables y dolores de mantenimiento. Algunas distribuciones de Linux, entre ellas Fedora, retrasaron sus lanzamientos hasta que el parche estuviera disponible. El gigante de la distribución Akamai señaló antes del parche que la mitad de sus redes monitorizadas tenÃan al menos una máquina con una instancia vulnerable de OpenSSL 3.x y entre esas redes, entre el 0,2 y el 33% de las máquinas eran vulnerables.
Pero las vulnerabilidades especÃficas (circunstancias limitadas, desbordamientos del lado del cliente que se mitigan por la disposición de la pila en la mayorÃa de las plataformas modernas) están ahora parcheadas y calificadas como "altas". Y con OpenSSL 1.1.1 todavÃa en su fase de soporte a largo plazo, OpenSSL 3.x no está tan extendido.
El experto en malware Marcus Hutchins señala un commit de OpenSSL en GitHub que detalla los problemas del código: "se han corregido dos desbordamientos de búfer en funciones de descodificación de código punitivo". Una dirección de correo electrónico maliciosa, verificada dentro de un certificado X.509, podrÃa desbordar los bytes de una pila, lo que provocarÃa un fallo o una posible ejecución remota de código, dependiendo de la plataforma y la configuración.
Pero esta vulnerabilidad afecta sobre todo a los clientes, no a los servidores, por lo que no es probable que se produzca el mismo tipo de restablecimiento de la seguridad en todo Internet (y el absurdo) de Heartbleed. Las VPN que utilizan OpenSSL 3.x podrÃan verse afectadas, por ejemplo y lenguajes como Node.js. El experto en ciberseguridad Kevin Beaumont señala que las protecciones contra desbordamientos de pila en las configuraciones por defecto de la mayorÃa de las distribuciones de Linux deberÃan impedir la ejecución de código.
¿Qué ha cambiado entre el anuncio del nivel crÃtico y la publicación del nivel alto? El equipo de seguridad de OpenSSL escribe en una entrada del blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios. En algunas distribuciones de Linux, el desbordamiento de 4 bytes posible con un ataque sobrescribÃa un búfer adyacente aún no utilizado, por lo que no podÃa bloquear un sistema ni ejecutar código. La otra vulnerabilidad sólo permitÃa a un atacante establecer la longitud de un desbordamiento, no el contenido.
Asà que, aunque los bloqueos siguen siendo posibles y algunas pilas podrÃan estar dispuestas de forma que fuera posible la ejecución remota de código, no es probable ni fácil, lo que rebaja las vulnerabilidades a "alta". Los usuarios de cualquier implementación de OpenSSL 3.x, sin embargo, deberÃan parchear lo antes posible. Y todo el mundo deberÃa estar atento a las actualizaciones de software y del sistema operativo que puedan parchear estos problemas en varios subsistemas.
El servicio de monitorización Datadog, en un buen resumen del problema, señala que su equipo de investigación de seguridad fue capaz de bloquear una implementación de Windows utilizando una versión 3.x de OpenSSL en una prueba de concepto. Y aunque no es probable que las implantaciones de Linux puedan ser explotadas, aún podrÃa surgir "un exploit diseñado para implantaciones de Linux".
El Centro Nacional de Ciberseguridad de los PaÃses Bajos (NCSL-NL) tiene una lista de software vulnerable al exploit OpenSSL 3.x. Numerosas distribuciones populares de Linux, plataformas de virtualización y otras herramientas aparecen como vulnerables o bajo investigación.