CVE-2022-3602 & CVE-2022-3786 : Nouvelles vulnérabilités OpenSSL de haute gravité
Table des matières :
En raison d’un nombre en constante évolution de vulnérabilités affectant les produits logiciels open-source, la détection proactive de l’exploitation des vulnérabilités reste l’un des cas d’utilisation de sécurité les plus courants selon le dernier rapport Innovation de Détection en tant que Code de SOC Prime. Au tournant de novembre 2022, quelques nouvelles vulnérabilités dans la bibliothèque logicielle OpenSSL identifiées comme CVE-2022-3602 et CVE-2022-3786 ont récemment fait surface, attirant l’attention des défenseurs cyber. Le 1er novembre 2022, OpenSSL a publié un avis de sécurité couvrant les détails de la première faille de sécurité suivie sous l’ID CVE-2022-3602. Les vulnérabilités nouvellement découvertes affectent les versions 3.0.0 à 3.0.6 d’OpenSSL, exposant les utilisateurs de ce logiciel à des tentatives d’exploitation potentielles.
Scénarios de détection d’exploitation de la vulnérabilité Punycode dans OpenSSL
Les vulnérabilités critiques affectant les produits logiciels open-source provoquent constamment des remous dans le domaine des menaces cyber. Juste après Text4Shell, une vulnérabilité RCE dans Apache Commons Text, les défenseurs cyber font face à de nouvelles menaces liées aux failles de sécurité nouvellement découvertes dans la bibliothèque open-source OpenSSL suivies sous les ID CVE-2022-3602 et CVE-2022-3786. Datadog Security Labs a récemment publié une recherche approfondie détaillant les scénarios de détection potentiels liés aux tentatives d’exploitation de la CVE-2022-3602.
Récupérez un ensemble de règles Sigma pour détecter l’activité malveillante potentiellement associée à la CVE-2022-3602 qui pourrait entraîner une exécution de code à distance (RCE). L’ensemble de règles est basé sur les recherches de Datadog Security Labs.
Les détections sont compatibles avec 24 technologies SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® traitant des tactiques d’Accès Initial, de Persistance, de Commande et Contrôle, avec Exploiter les Applications Exposées au Public (T1190), Composant Logiciel Serveur (T1505), et Résolution Dynamique (T1637) comme techniques correspondantes.
Cliquez sur le bouton Explorer les Détections pour accéder instantanément aux règles Sigma pour CVE-2022-3602, aux liens CTI correspondants, aux références ATT&CK et aux idées de chasse aux menaces.
Description de CVE-2022-3786 et CVE-2022-3602
OpenSSL est une bibliothèque de cryptographie open-source pour une communication sécurisée basée sur les protocoles SSL et TLS. La version 3 de la bibliothèque, publiée en septembre 2021, a été trouvée vulnérable à quelques failles de sécurité récemment révélées connues sous les noms CVE-2022-3602 et CVE-2022-378. Une surcharge de tampon impliquant ces vulnérabilités peut être déclenchée dans un client TLS en établissant une connexion avec un serveur malveillant. De plus, les failles de sécurité d’OpenSSL peuvent potentiellement être exploitées dans un serveur TLS si ce dernier demande une authentification du client et que le client malveillant se connecte avec succès au serveur compromis. Le débordement de mémoire tampon peut entraîner un déni de service et potentiellement déclencher une RCE.
La vulnérabilité punycode OpenSSL CVE-2022-3602 a reçu une évaluation de sévérité élevée selon l’ avis de sécurité OpenSSL dédié. La faille de sécurité découverte existe dans la fonction spécifique d’OpenSSL pour le décodage des noms de domaine punycode. Les acteurs malveillants peuvent potentiellement exploiter la vulnérabilité CVE-2022-3602 en générant un certificat personnalisé avec un punycode dans le domaine du champ de l’adresse e-mail.
Bien qu’il n’y ait actuellement pas de code exploit CVE-2022-3602 PoC disponible publiquement, les chercheurs de Datadog ont développé leur propre scénario vulnérable sur Windows et ont offert un exploit DoS PoC qui abuse d’OpenSSL fonctionnant sur Windows.
Comme mesures de mitigation pour CVE-2022-3786 et CVE-2022-3602, il est recommandé aux utilisateurs d’OpenSSL 3.0 de passer à la version 3.0.7 d’OpenSSL, dans laquelle les failles de sécurité découvertes sont corrigées.
Restez à un pas devant les attaquants avec du contenu de détection ciblé contre toute menace critique ou toute CVE exploitable. Atteignez 800 règles pour les CVE actuelles et émergentes afin d’identifier à temps les risques dans votre infrastructure. Obtenez 140+ règles Sigma gratuitement ou obtenez la liste complète du contenu de détection pertinent à la demande sur https://my.socprime.com/pricing/.
