El Proyecto OpenSSL ha parcheado dos fallas de seguridad de alta gravedad en su biblioteca criptográfica de código abierto, muy utilizada para cifrar canales de comunicación y conexiones HTTPS. Las vulnerabilidades han sido rastreadas como CVE-2022-3602 y CVE-2022-3786 y que afectan al protocolo OpenSSL versión 3.0.0 y posteriores y se han corregido en la versión OpenSSL 3.0.7.
CVE-2022-3602 es una falla de seguridad que produce un desbordamiento arbitrario de búfer de la pila de 4 bytes que podría desencadenar bloqueos o provocar la ejecución remota de código (RCE), mientras que CVE-2022-3786 puede ser explotado por atacantes a través de direcciones de correo electrónico maliciosas para desencadenar un estado de denegación de servicio a través de un desbordamiento de búfer.
«Todavía consideramos que estos problemas son vulnerabilidades graves y se alienta a los usuarios afectados a actualizar lo antes posible«,dijo el equipo de OpenSSL.
«No tenemos conocimiento de ningún exploit funcional que pueda conducir a la ejecución remota de código, y no tenemos evidencia de que estos problemas se exploten en el momento del lanzamiento de esta publicación«.
Según la política de OpenSSL, las organizaciones y los administradores de TI han sido advertidos desde el 25 de octubre para buscar en sus entornos instancias vulnerables y prepararlos para la aplicación de parches cuando se lance OpenSSL 3.0.7.
«Si sabe de antemano dónde está usando OpenSSL 3.0+ y cómo lo está usando, cuando llegue el aviso, podrá determinar rápidamente si se ve afectado y cómo lo afecta y qué necesita parchear«, dijo Cox.
OpenSSL también proporciona medidas de mitigación que requieren que los administradores que operan servidores TLS deshabiliten la autenticación del cliente TLS hasta que se apliquen los parches.
Si bien la advertencia inicial instó a los administradores a tomar medidas inmediatas para mitigar la falla, el impacto real es mucho más limitado dado que CVE-2022-3602 (inicialmente calificado como crítico) se ha degradado a alta gravedad y solo afecta a OpenSSL 3.0 e instancias posteriores.
Estas versiones recientemente lanzadas aún no se han implementado en gran medida en el software utilizado en producción en comparación con las versiones anteriores de la biblioteca OpenSSL.
Además, aunque algunos expertos en seguridad y proveedores han equiparado el descubrimiento de esta vulnerabilidad con la falla Log4Shell en la biblioteca de registro Apache Log4J, solo aproximadamente 7,000 sistemas expuestos a Internet que ejecutan versiones vulnerables de OpenSSL de un total de más de 1,793,000 hosts únicos detectados por Censys en línea: Shodan enumera alrededor de 16.000 instancias OpenSSL de acceso público.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
