OpenSSL phát hành bản cập nhật bảo mật cho hai lỗ hổng nghiêm trọng

Vào cuối tháng 10 năm 2022, Dự án OpenSSL đã tiết lộ hai lỗ hổng được tìm thấy trong thư viện OpenSSL: CVE-2022-3602 và CVE-2022-3786. Cả hai đều được gắn nhãn là sự cố nghiêm trọng ở mức “Cao” với điểm CVSS là 8.8, chỉ thấp hơn một chút so với điểm được coi là “Nghiêm trọng” (9.0).

Vấn đề nằm ở quy trình xác minh chứng chỉ mà OpenSSL thực hiện để xác thực dựa trên chứng chỉ (certificate-based authentication). Việc khai thác các lỗ hổng có thể cho phép kẻ tấn công khởi chạy một cuộc tấn công Từ chối dịch vụ (Denial of Service, hay DoS) hoặc thậm chí là một cuộc tấn công Thực thi code từ xa (Remote Code Execution). 

Các bản vá cho hai điểm yếu được tìm thấy trong OpenSSL v3.0.0 đến v3.06 đã được phát hành. 

OpenSSL là gì?

OpenSSL là một tiện ích dòng lệnh mật mã nguồn mở phổ biến được triển khai để giữ an toàn cho việc trao đổi lưu lượng truy cập web giữa máy khách và máy chủ. Nó được sử dụng để tạo khóa công khai (public key) và khóa riêng (private key), cài đặt chứng chỉ SSL/TLS, xác minh thông tin chứng chỉ và cung cấp mã hóa.

Vào ngày 17 tháng 10 năm 2022, hãng an ninh mạng Polar Bear tiết lộ cho dự án OpenSSL về hai lỗ hổng cấp cao được tìm thấy trong OpenSSL phiên bản 3.0.0 đến 3.0.6. Các lỗ hổng này là CVE-2022-3602 và CVE-2022-3786. Chỉ một tuần sau, tin tức về các lỗ hổng này xuất hiện trên internet.  

Kẻ tấn công có thể khai thác những lỗ hổng này như thế nào?

Cặp lỗ hổng CVE-2022-3602 và CVE-2022-3786 dễ bị tấn công buffer overflow (tạm dịch là tràn bộ nhớ đệm). Đây là một cuộc tấn công mạng trong đó nội dung bộ nhớ máy chủ bị sử dụng để tiết lộ thông tin người dùng và khóa riêng của máy chủ hoặc thực thi code từ xa.

CVE-2022-3602

Lỗ hổng này cho phép kẻ tấn công lợi dụng lỗi tràn bộ đệm trong xác minh chứng chỉ X.509 trong kiểm tra ràng buộc tên (name constraint). Điều này xảy ra sau khi xác minh chuỗi chứng chỉ và yêu cầu chữ ký của một nhà cung cấp chứng chỉ số (Certificate authority, viết tắt là CA) trên chứng chỉ độc hại hoặc yêu cầu quá trình xác minh chứng chỉ tiếp tục mặc dù không thể kết nối với một CA đáng tin cậy.

Kẻ tấn công có thể kết hợp một mưu đồ lừa đảo giả mạo (phishing), chẳng hạn như tạo một địa chỉ email giả mạo để làm tràn bốn byte trên ngăn xếp (stack). Điều này có thể dẫn đến một cuộc tấn công DoS, trong đó dịch vụ không khả dụng sau khi gặp sự cố hoặc kẻ tấn công có thể thực hiện Thực thi code từ xa, nghĩa là code được chạy từ xa để điều khiển máy chủ ứng dụng.

Lỗ hổng này có thể được kích hoạt nếu máy khách TLS thật sự kết nối với máy chủ độc hại hoặc nếu máy chủ TLS thật sự kết nối với máy khách độc hại.

CVE-2022-3786

Lỗ hổng này bị lợi dụng theo cách tương tự như CVE-2022-3602. Sự khác biệt duy nhất là kẻ tấn công tạo một địa chỉ email độc hại để làm tràn một số byte tùy ý có chứa ký tự “.” (thập phân 46). Tuy nhiên, trong CVE-2022-3602, chỉ có bốn byte do kẻ tấn công kiểm soát bị khai thác.

Hồi tưởng về lỗ hổng “Heartbleed”

Vào năm 2016, một sự cố tương tự được phát hiện trong OpenSSL và được xếp hạng mức độ “Nghiêm trọng”. Đây là một lỗi xử lý bộ nhớ cho phép tin tặc xâm phạm các khóa bí mật, mật khẩu và thông tin nhạy cảm khác trong các máy chủ dễ bị tấn công. Lỗi này được gọi là Heartbleed (CVE-2014-0160) và cho đến nay, hơn 200,000 máy được cho là bị ảnh hưởng bởi lỗi này.

Cách khắc phục là gì?

Ngày nay, nhiều nền tảng triển khai các biện pháp bảo vệ chống tràn ngăn xếp (stack overflow) để ngăn chặn những kẻ tấn công. Điều này giúp phòng chống tràn bộ nhớ đệm.

Biện pháp khác là nâng cấp lên phiên bản OpenSSL mới nhất. Vì OpenSSL v3.0.0 đến v3.0.6 dễ bị tấn công, bạn nên nâng cấp lên phiên bản OpenSSL v3.0.7. Tuy nhiên, nếu bạn sử dụng OpenSSL v1.1.1 và v1.0.2, bạn có thể tiếp tục dùng các phiên bản này vì chúng không bị ảnh hưởng bởi hai lỗ hổng trên.

Hai lỗ hổng khó bị lợi dụng

Khả năng các lỗ hổng này bị lợi dụng là thấp vì một trong các điều kiện là chứng chỉ không đúng định dạng được ký bởi một CA đáng tin cậy. Trong bối cảnh tấn công ngày càng gia tăng, hầu hết các hệ thống hiện đại đều đảm bảo triển khai các cơ chế bảo mật tích hợp để phòng tránh loại tấn công này.

Với các cơ chế bảo vệ tiên tiến và tích hợp sẵn, các lỗ hổng như thế này khó bị khai thác. Nhờ các bản cập nhật bảo mật được OpenSSL phát hành kịp thời, bạn không cần lo lắng về chúng. Chỉ cần thực hiện các biện pháp cần thiết như vá hệ thống và triển khai các lớp bảo mật tốt, bạn sẽ an toàn khi sử dụng OpenSSL.

Vân Nguyễn

Dịch từ: https://www.makeuseof.com/openssl-issues-security-updates-for-two-critical-vulnerabilities-cve-2022-360-and-cve-2022-3786/