کالین تیری
پروژه OpenSSL اخیراً دو نقص امنیتی با شدت بالا را در کتابخانه رمزنگاری منبع باز خود که برای رمزگذاری کانال های ارتباطی و اتصالات HTTPS استفاده می شود، اصلاح کرده است.
این آسیب پذیری ها (CVE-2022-3602 و CVE-2022-3786) بر OpenSSL نسخه 3.0.0 و جدیدتر تأثیر گذاشت و در OpenSSL 3.0.7 مورد بررسی قرار گرفت.
CVE-2022-3602 می تواند برای ایجاد خرابی یا اجرای کد از راه دور (RCE) مورد سوء استفاده قرار گیرد، در حالی که CVE-2022-3786 می تواند توسط عوامل تهدید از طریق آدرس های ایمیل مخرب برای ایجاد حالت انکار سرویس مورد استفاده قرار گیرد.
تیم OpenSSL در بیانیهای گفت: «ما هنوز این مسائل را آسیبپذیری جدی میدانیم و کاربران آسیبدیده تشویق میشوند تا در اسرع وقت بهروزرسانی کنند.» بیانیه در روز سه شنبه.
وی افزود: "ما از هیچ گونه سوء استفاده کاری که می تواند منجر به اجرای کد از راه دور شود، آگاه نیستیم و هیچ مدرکی مبنی بر سوء استفاده از این مسائل تا زمان انتشار این پست نداریم."
طبق OpenSSL راهبرد امنیتی، شرکت ها (مانند ExpressVPN) و ادمین های فناوری اطلاعات بودند هشدار داد هفته گذشته برای جستجوی محیط های خود برای آسیب پذیری ها و آماده شدن برای وصله آنها پس از انتشار OpenSSL 3.0.7.
«اگر از قبل میدانید که از OpenSSL 3.0+ کجا استفاده میکنید و چگونه از آن استفاده میکنید، پس از دریافت مشاوره، میتوانید به سرعت تعیین کنید که آیا تحت تأثیر قرار گرفتهاید یا چگونه و چه چیزی را باید وصله کنید.» گفت: مارک جی کاکس، بنیانگذار OpenSSL در یک پست توییتر.
OpenSSL همچنین اقدامات کاهشی را ارائه کرد که مدیران سرورهای امنیت لایه حمل و نقل (TLS) را برای غیرفعال کردن تأیید اعتبار کلاینت TLS تا زمانی که وصلهها اعمال میکردند، ملزم میکردند.
با توجه به اینکه CVE-2022-3602 از بحرانی به با شدت بالا تنزل داده شد و فقط OpenSSL 3.0 و نمونه های بعدی را تحت تأثیر قرار می دهد، تأثیر آسیب پذیری ها بسیار محدودتر از آن چیزی بود که در ابتدا تصور می شد.
هر شرکت امنیت ابری Wiz.io، پس از تجزیه و تحلیل استقرار در محیط های ابری اصلی (از جمله AWS، GCP، Azure، OCI و Alibaba Cloud) تنها 1.5 درصد از نمونه های OpenSSL تحت تأثیر نقص امنیتی قرار گرفتند.
مرکز ملی امنیت سایبری هلند نیز یک فهرست محصولات نرم افزاری تایید شده که تحت تأثیر آسیب پذیری OpenSSL قرار نگرفته اند.
