CVE-2022-3602 & CVE-2022-3786: Nuevas Vulnerabilidades de Alta Gravedad en OpenSSL
Tabla de contenidos:
Debido a un número en constante evolución de vulnerabilidades que afectan a los productos de software de código abierto, la detección proactiva de la explotación de vulnerabilidades sigue siendo uno de los casos de uso de seguridad más comunes según el último informe de Innovación en Detección como Código de SOC Prime. A finales de noviembre de 2022, un par de nuevas vulnerabilidades en la biblioteca de software OpenSSL identificadas como CVE-2022-3602 y CVE-2022-3786 han recientemente cobrado protagonismo acaparando la atención de los defensores cibernéticos. El 1 de noviembre de 2022, OpenSSL emitió un aviso de seguridad cubriendo los detalles del primer fallo de seguridad rastreado como CVE-2022-3602. Las vulnerabilidades recién descubiertas afectan las versiones de OpenSSL desde la 3.0.0 hasta la 3.0.6 exponiendo a los usuarios de este software a posibles intentos de explotación.
Escenarios de Detección de Explotación de la Vulnerabilidad Punycode de OpenSSL
Vulnerabilidades críticas que afectan a productos de software de código abierto están constantemente causando revuelo en el ámbito de las amenazas cibernéticas. Tras Text4Shell, una vulnerabilidad RCE en Apache Commons Text, los defensores cibernéticos están enfrentando nuevas amenazas relacionadas con los fallos de seguridad recién descubiertos en la biblioteca de código abierto OpenSSL, rastreados como CVE-2022-3602 y CVE-2022-3786. Datadog Security Labs recientemente ha publicado una investigación detallada que detalla los escenarios potenciales de detección relacionados con los intentos de explotación de CVE-2022-3602.
Obtén un conjunto de reglas Sigma para detectar la actividad maliciosa potencialmente asociada con CVE-2022-3602 que podría resultar en la ejecución remota de código (RCE). Todo el conjunto de reglas se basa en la investigación de Datadog Security Labs.
Las detecciones son compatibles con 24 tecnologías SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando las tácticas de Acceso Inicial, Persistencia, Comando y Control, con Explotar Aplicaciones Públicas (T1190), Componente de Software del Servidor (T1505) y Resolución Dinámica (T1637) como las técnicas correspondientes.
Presiona el botón Explorar Detecciones para acceder instantáneamente a las reglas Sigma para CVE-2022-3602, los enlaces CTI correspondientes, referencias ATT&CK e ideas de búsqueda de amenazas.
Descripción de CVE-2022-3786 y CVE-2022-3602
OpenSSL es una biblioteca de criptografía de código abierto para comunicaciones seguras basadas en los protocolos SSL y TLS. Se ha encontrado que la versión 3 de la biblioteca lanzada en septiembre de 2021 es vulnerable a un par de fallos de seguridad recién revelados conocidos como CVE-2022-3602 y CVE-2022-378. Un desbordamiento de búfer involucrando estas vulnerabilidades puede ser desencadenado en un cliente TLS al establecer una conexión con un servidor malicioso. Además, las fallas de seguridad de OpenSSL pueden potencialmente ser explotadas en un servidor TLS si este solicita autenticación del cliente y dado que el cliente malicioso se conecta con éxito al servidor comprometido. El desbordamiento de búfer puede causar una denegación de servicio y potencialmente desencadenar una ejecución remota de código (RCE).
La vulnerabilidad punycode de OpenSSL CVE-2022-3602 ha recibido una calificación de alta severidad según el aviso de seguridad dedicado de OpenSSL. El fallo de seguridad descubierto existe en la función específica de OpenSSL para decodificar nombres de dominio punycode. Los actores de amenazas pueden potencialmente explotar la vulnerabilidad CVE-2022-3602 generando un certificado personalizado con un punycode en el dominio del campo de dirección de correo electrónico.
Aunque actualmente no hay código PoC de explotación de CVE-2022-3602 disponible públicamente, los investigadores de Datadog han creado su propio escenario vulnerable en Windows y ofrecieron un exploit DoS de Prueba de Concepto (PoC) que abusa de OpenSSL ejecutándose en Windows.
Como medidas de mitigación para CVE-2022-3786 y CVE-2022-3602, se recomienda a los usuarios de OpenSLL 3.0 actualizar a la versión 3.0.7 de OpenSSL, en la cual se han corregido los fallos de seguridad descubiertos.
Mantente un paso adelante de los atacantes con contenido de detección curado contra cualquier amenaza crítica o cualquier CVE explotable. Alcanzar 800 reglas para CVEs actuales y emergentes para identificar oportunamente los riesgos en tu infraestructura. Obtén 140+ reglas Sigma de forma gratuita o consigue la lista completa de contenido de detección relevante bajo demanda en https://my.socprime.com/pricing/.
