Avis de sécurité OpenSSL

1er novembre 2022
Luke Richards
Threat Intelligence Lead
Avis de sécurité OpenSSL

CVE-2022-3602 et CVE-2022-3768

Le 1er novembre 2022, après avoir annoncé le spectacle principal la semaine précédente, OpenSSL a publié son avis décrivant deux risques pour OpenSSL 3.0.0 - 3.0.6. Il s'agissait à l'origine d'une alerte de niveau critique, qui aurait été la première alerte critique depuis 2015, mais elle a été ramenée à un niveau élevé en raison de ce qu'OpenSSL décrit comme des "facteurs d'atténuation".

Les deux vulnérabilités sont basées sur des débordements de tampon dans le champ de l'adresse électronique d'un certificat X509. En élaborant spécifiquement l'adresse email, un attaquant pourrait déborder et contrôler 4 octets sur la pile du système cible CVE-2022-3602, ou en remplissant l'adresse email avec un caractère spécifique, l'attaquant pourrait déborder la mémoire tampon et faire planter le système CVE-2022-3768. Ces deux vulnérabilités pourraient, à elles seules, donner l'impression de tout casser partout en même temps, mais ces facteurs d'atténuation sont très importants.

Le premier facteur atténuant est que ces deux vulnérabilités nécessitent un certain niveau d'interaction de la part du client ou du serveur ciblé. Dans les deux cas, un client utilisant OpenSSL3.0 doit se rendre sur un serveur malveillant hébergeant un certificat x509 malveillant. Bien que cela ne soit pas hors de portée dans les opérations quotidiennes, il faudrait toujours qu'un utilisateur clique sur un lien ou ouvre un document pour être compromis. Bien que cela soit assez courant, il existe des moyens plus simples que l'utilisation d'une vulnérabilité OpenSSL pour exécuter un code à distance.

Du côté du serveur, le serveur ciblé devrait demander un certificat d'authentification client à un client malveillant. Il ne s'agit pas d'une configuration normale pour les serveurs orientés vers l'internet et il est plus probable qu'elle soit utilisée pour les dispositifs sur site. Il faudrait alors qu'un tiers malveillant soit suffisamment proche pour cibler un réseau.

Un autre facteur important d'atténuation de ces vulnérabilités est que les certificats utilisés doivent être signés par une autorité de certification (AC) de confiance, ou que l'application doit continuer sans pouvoir établir un chemin vers une AC de confiance afin de déclencher ces débordements. Il s'agit d'une tâche non triviale pour la plupart des attaquants, bien qu'il existe des moyens d'utiliser des autorités de signature plus ouvertes, il est très probable que ces fournisseurs vont auditer les demandes de signature de certificat afin de trouver ces champs d'adresse électronique qui peuvent être malveillants.

Il n'y a pas non plus un grand nombre de systèmes utilisant OpenSSL3.0. Le nombre n'est certainement pas nul, mais pour mettre les choses en perspective, deux des principaux systèmes d'exploitation pour serveurs non Windows, RHEL et Ubuntu, viennent tout juste d'intégrer OpenSSL3.0 dans leurs plateformes cette année. RHEL 9 est sorti en mai 2022 et Ubuntu 22.04 en août 2022. Cela signifie que de nombreux administrateurs système n'ont peut-être pas eu l'occasion d'effectuer une mise à niveau vers ces branches, et il ne s'agit que des versions LTS les plus récentes, de sorte qu'il n'est peut-être pas nécessaire d'effectuer une mise à niveau. Toutefois, il convient de noter que ces versions peuvent être utilisées pour construire des conteneurs Docker et d'autres applications conteneurisées.

Enfin, OpenSSL n'a pas repéré l'exploitation de ces vulnérabilités dans la nature, il ne s'agit donc pas d'un correctif hors bande faisant l'objet d'une campagne d'attaque active. Malgré cela, il est toujours recommandé de patcher les systèmes utilisant OpenSSL3.0.0-3.0.6 jusqu'à 3.0.7.

Vectra ne dispose pas d'une détection spécifique ou d'une recherche sauvegardée pour trouver des utilisations potentielles de ces vulnérabilités spécifiques. Cependant, comme pour toutes les vulnérabilités ciblant l'infrastructure ou les clients, la vulnérabilité n'est que le premier vecteur d'infection d'une compromission en cours. Si un client ou un serveur devait être compromis à l'aide des techniques susmentionnées, il est probable qu'un implant ou un cheval de Troie serait déployé. Dans ce cas, les clients peuvent s'attendre à voir les détections suivantes :

  • Tunnel DNS caché
  • Tunnel HTTP caché
  • Tunnel HTTPS caché
  • Accès externe à distance
  • Vectra Renseignements sur les menaces Match
  • Tunnel à fronts multiples

Ils couvrent les outils malveillants et les implants C2, quelle que soit la vulnérabilité utilisée pour les déployer.

Comme il s'agit d'une campagne permanente, on s'attend à ce qu'il y ait également des mouvements latéraux, auquel cas le site Vectra couvre les techniques suivantes :

  • Exécution à distance suspecte
  • Anomalie de privilège : service inhabituel
  • Anomalie de privilège : compte inhabituel sur l'hôte
  • Bureau à distance suspect
  • Anomalie de privilège : Service inhabituel - individu
  • Anomalie de privilège : Trio inhabituel, Anomalie de privilège : Hôte inhabituel
  • Anomalie de privilège : Service inhabituel de l'hôte
  • Administrateur suspect

Quel que soit l'outil utilisé, ces détections sont conçues pour couvrir les comportements que les attaquants utilisent après la compromission pour atteindre leurs objectifs finaux dans votre environnement.

Foire aux questions