القراء مثلك يساعدون في دعم MUO. عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة.
في الأسبوع الأخير من أكتوبر 2022 ، كشف مشروع OpenSSL عن ثغرتين تم العثور عليهما في مكتبة OpenSSL. تم تصنيف كل من CVE-2022-360 و CVE-2022-3786 على أنها مشكلات "عالية الخطورة" مع درجة CVSS تبلغ 8.8 ، أي أقل بمقدار 0.2 نقطة فقط مما قد يحتاجون إلى اعتباره "حرجًا".
تكمن المشكلة في عملية التحقق من الشهادات التي يقوم بها OpenSSL للمصادقة القائمة على الشهادة. قد يسمح استغلال الثغرات الأمنية للمهاجم بشن رفض الخدمة (DoS) أو حتى هجوم تنفيذ التعليمات البرمجية عن بُعد. تم الآن إصدار التصحيحات الخاصة بنقطتي الضعف الموجودة في OpenSSL v3.0.0 إلى v3.06.
ما هو OpenSSL؟
OpenSSL عبارة عن أداة سطر أوامر تشفير مفتوحة المصدر ومستخدمة على نطاق واسع يتم تنفيذها للحفاظ على تبادل حركة مرور الويب بين العميل والخادم. يتم استخدامه لإنشاء مفاتيح عامة وخاصة ، وتثبيت شهادات SSL / TLS ، والتحقق من معلومات الشهادة ، وتوفير التشفير.
ظهرت المشكلة في 17 أكتوبر 2022 عندما كشفت Polar Bear عن ثغرات أمنية عالية المستوى موجودة في OpenSSL الإصدار 3.0.0 إلى 3.0.6 لمشروع OpenSSL. الثغرات الأمنية هي CVE-2022-3602 و CVE-2022-3786.
في 25 أكتوبر 2022 ، وصلت أخبار الثغرات الأمنية إلى الإنترنت. قام مارك كوكس ، مهندس برمجيات Red Hat ونائب رئيس الأمن في مؤسسة Apache Software Foundation ، بإطلاق الأخبار في تغريدة.
كيف يمكن للمهاجم استغلال نقاط الضعف هذه؟
زوج من نقاط الضعف CVE-2022-3602 و CVE-2022-3786 عرضة لها هجوم تجاوز المخزن المؤقت وهو هجوم إلكتروني يتم فيه إساءة استخدام محتويات ذاكرة الخادم للكشف عن معلومات المستخدم والمفاتيح الخاصة بالخادم أو تنفيذ التعليمات البرمجية عن بُعد.
CVE-2022-3602
تسمح هذه الثغرة الأمنية للمهاجم بالاستفادة من تجاوز المخزن المؤقت في التحقق من شهادة X.509 في فحص قيود الاسم. يحدث هذا بعد التحقق من سلسلة الشهادات ويتطلب توقيع CA على الشهادة الضارة أو التحقق من الشهادة للمتابعة على الرغم من الفشل في التعيين إلى مُصدر موثوق.
يمكن للمهاجم أن يدمج مخطط التصيد مثل إنشاء عنوان بريد إلكتروني ملفق لتجاوز أربعة بايت على المكدس. يمكن أن يؤدي هذا إلى هجوم رفض الخدمة (DoS) حيث تصبح الخدمة غير متاحة بعد تعطلها ، أو يمكن للمهاجم تنفيذ تنفيذ التعليمات البرمجية عن بُعد ، مما يعني تشغيل رمز عن بُعد للتحكم في التطبيق الخادم.
يمكن تشغيل هذه الثغرة الأمنية إذا اتصل عميل TLS أصلي بخادم ضار أو إذا كان خادم TLS أصلي يتصل بعميل ضار.
CVE-2022-3786
يتم استغلال هذه الثغرة الأمنية تمامًا مثل CVE-2022-3602. والفرق الوحيد هو أن المهاجم ينشئ عنوان بريد إلكتروني ضارًا لتجاوز عدد عشوائي من وحدات البايت التي تحتوي على "." حرف (عشري 46). ومع ذلك ، في CVE-2022-3602 ، يتم استغلال أربعة بايت فقط يتحكم فيها المهاجم.
استرجاع نقاط الضعف "Heartbleed" سيئة السمعة
مرة أخرى في عام 2016 ، تم اكتشاف مشكلة مماثلة في OpenSSL والتي تم منحها تصنيف خطورة "حرج". كان هذا خطأ في معالجة الذاكرة سمح للمهاجمين بخرق المفاتيح السرية وكلمات المرور والمعلومات الحساسة الأخرى في الخوادم المعرضة للخطر. يُعرف الخطأ الشائن باسم Heartbleed (CVE-2014-0160) وحتى يومنا هذا ، تعتبر أكثر من 200000 آلة عرضة لهذا الضعف.
ما هو الإصلاح؟
في عالم اليوم المدرك للأمن السيبراني ، تطبق العديد من الأنظمة الأساسية حماية تجاوز التدفق المكدس لإبقاء المهاجمين في مأزق. يوفر هذا التخفيف الضروري ضد تجاوز سعة المخزن المؤقت.
يتضمن التخفيف الإضافي ضد هذه الثغرات الأمنية الترقية إلى أحدث إصدار تم إصداره من OpenSSL. نظرًا لأن OpenSSL v3.0.0 إلى v3.0.6 ضعيف ، فمن المستحسن أن تقوم بالترقية إلى OpenSSL v3.0.7. ومع ذلك ، إذا كنت تستخدم OpenSSL v1.1.1 و v1.0.2 ، يمكنك الاستمرار في استخدام هذه الإصدارات لأنها لا تتأثر بالإثنين نقاط الضعف.
من الصعب استغلال نقطتي الضعف
فرص إساءة استغلال هذه الثغرات الأمنية منخفضة لأن أحد الشروط هو شهادة مشوهة موقعة من مرجع مصدق موثوق به. نظرًا لطبيعة الهجوم المتزايدة باستمرار ، فإن معظم الأنظمة الحديثة تتأكد من تنفيذ آليات الأمان المضمنة لتجنب هذه الأنواع من الهجمات.
يعد الأمن السيبراني ضرورة في عالم اليوم ، مع وجود آليات حماية مدمجة ومتقدمة ، يصعب استغلال نقاط الضعف مثل هذه. بفضل التحديثات الأمنية الصادرة عن OpenSSL في الوقت المناسب ، لا داعي للقلق بشأن هذه الثغرات الأمنية. ما عليك سوى اتخاذ الإجراءات الضرورية مثل تصحيح نظامك وتنفيذ طبقات أمان جيدة ، ويمكنك استخدام OpenSSL بأمان.