Blog

Alerta de Seguridad por nuevas actualizaciones para OpenSSL, CVE-2022-3602 – CVE-2022-3786

El Proyecto OpenSSL ha parcheado dos fallas de seguridad de alta gravedad en su biblioteca criptográfica de código abierto, muy utilizada para cifrar canales de comunicación y conexiones HTTPS. Las vulnerabilidades han sido rastreadas como CVE-2022-3602 y CVE-2022-3786 y que afectan al protocolo OpenSSL versión 3.0.0 y posteriores y se han corregido en la versión OpenSSL 3.0.7.

CVE-2022-3602 es una falla de seguridad que produce un desbordamiento arbitrario de búfer de la pila de 4 bytes que podría desencadenar bloqueos o provocar la ejecución remota de código (RCE), mientras que CVE-2022-3786 puede ser explotado por atacantes a través de direcciones de correo electrónico maliciosas para desencadenar un estado de denegación de servicio a través de un desbordamiento de búfer.

«Todavía consideramos que estos problemas son vulnerabilidades graves y se alienta a los usuarios afectados a actualizar lo antes posible«,dijo el equipo de OpenSSL.

«No tenemos conocimiento de ningún exploit funcional que pueda conducir a la ejecución remota de código, y no tenemos evidencia de que estos problemas se exploten en el momento del lanzamiento de esta publicación«.

Según la política de OpenSSL, las organizaciones y los administradores de TI han sido advertidos desde el 25 de octubre para buscar en sus entornos instancias vulnerables y prepararlos para la aplicación de parches cuando se lance OpenSSL 3.0.7.

«Si sabe de antemano dónde está usando OpenSSL 3.0+ y cómo lo está usando, cuando llegue el aviso, podrá determinar rápidamente si se ve afectado y cómo lo afecta y qué necesita parchear«, dijo Cox.

OpenSSL también proporciona medidas de mitigación que requieren que los administradores que operan servidores TLS deshabiliten la autenticación del cliente TLS hasta que se apliquen los parches.

Si bien la advertencia inicial instó a los administradores a tomar medidas inmediatas para mitigar la falla, el impacto real es mucho más limitado dado que CVE-2022-3602 (inicialmente calificado como críticose ha degradado a alta gravedad y solo afecta a OpenSSL 3.0 e instancias posteriores.

Estas versiones recientemente lanzadas aún no se han implementado en gran medida en el software utilizado en producción en comparación con las versiones anteriores de la biblioteca OpenSSL.

Además, aunque algunos expertos en seguridad y proveedores han equiparado el descubrimiento de esta vulnerabilidad con la falla Log4Shell en la biblioteca de registro Apache Log4J, solo aproximadamente 7,000 sistemas expuestos a Internet que ejecutan versiones vulnerables de OpenSSL de un total de más de 1,793,000 hosts únicos detectados por Censys en línea: Shodan enumera alrededor de 16.000 instancias OpenSSL de acceso público.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required