CVE-2022-3602 & CVE-2022-3786: Nuove Vulnerabilità OpenSSL di Alta Gravità
Indice:
A causa di un numero in costante evoluzione di vulnerabilità che colpiscono i prodotti software open-source, il rilevamento proattivo dello sfruttamento delle vulnerabilità rimane uno dei casi d’uso per la sicurezza più comuni secondo l’ultimo rapporto sulla rilevazione come innovazione del codice di SOC Prime. A cavallo di novembre 2022, un paio di nuove vulnerabilità nella libreria software OpenSSL identificate come CVE-2022-3602 e CVE-2022-3786 sono recentemente salite alla ribalta catturando l’attenzione dei difensori informatici. Il 1° novembre 2022, OpenSSL ha emesso un avviso di sicurezza che copre i dettagli della prima falla di sicurezza tracciata come CVE-2022-3602. Le vulnerabilità recentemente scoperte colpiscono le versioni di OpenSSL dalla 3.0.0 alla 3.0.6 esponendo gli utenti di questo software a tentativi di sfruttamento potenziali.
Scenari di rilevamento di exploit della vulnerabilità di OpenSSL Punycode
Le vulnerabilità critiche che colpiscono i prodotti software open-source causano costantemente scompiglio nell’arena delle minacce informatiche. Sulla scia di Text4Shell, una vulnerabilità RCE in Apache Commons Text, i difensori informatici stanno affrontando nuove minacce da gestire relative alle falle di sicurezza recentemente scoperte nella libreria open-source OpenSSL e tracciate come CVE-2022-3602 e CVE-2022-3786. Datadog Security Labs ha recentemente rilasciato una ricerca approfondita che dettaglia i potenziali scenari di rilevamento relativi ai tentativi di sfruttamento di CVE-2022-3602.
Ottieni un set di regole Sigma per rilevare l’attività dannosa potenzialmente associata a CVE-2022-3602 che potrebbe comportare un’esecuzione di codice remoto (RCE). Tutto il set di regole si basa sulla ricerca di Datadog Security Labs.
Le rilevazioni sono compatibili con 24 tecnologie SIEM, EDR e XDR e sono allineate al framework MITRE ATT&CK® che affronta le tattiche di accesso iniziale, persistenza, comando e controllo, con Exploit Public-Facing Applications (T1190), Server Software Component (T1505) e Dynamic Resolution (T1637) come tecniche corrispondenti.
Premi il pulsante Esplora Rilevazioni per accedere istantaneamente alle regole Sigma per CVE-2022-3602, ai link CTI corrispondenti, ai riferimenti ATT&CK e alle idee per la caccia alle minacce.
Descrizione di CVE-2022-3786 e CVE-2022-3602
OpenSSL è una libreria crittografica open-source per la comunicazione sicura basata sui protocolli SSL e TLS. La versione 3 della libreria rilasciata a settembre 2021 è risultata vulnerabile a un paio di nuovi bug di sicurezza rivelati e noti come CVE-2022-3602 e CVE-2022-378. Un buffer overflow coinvolgente queste vulnerabilità può essere attivato in un client TLS stabilendo una connessione a un server malevolo. Inoltre, le falle di sicurezza di OpenSSL possono essere potenzialmente sfruttate in un server TLS se quest’ultimo richiede l’autenticazione del client e a condizione che il client malevolo riesca a connettersi al server compromesso. Il buffer overflow può causare un denial of service e potenzialmente attivare un RCE.
La vulnerabilità punycode di OpenSSL CVE-2022-3602 ha ricevuto un’alta valutazione di gravità secondo il avviso di sicurezza dedicato di OpenSSL. La falla di sicurezza scoperta esiste nella funzione specifica di OpenSSL per la decodifica dei nomi di dominio punycode. Gli attori delle minacce possono potenzialmente sfruttare la vulnerabilità CVE-2022-3602 generando un certificato personalizzato con un punycode nel dominio del campo dell’indirizzo email.
Sebbene attualmente non sia disponibile pubblicamente un codice exploit PoC per CVE-2022-3602, i ricercatori di Datadog hanno ideato il proprio scenario vulnerabile su Windows e offerto un exploit DoS PoC che sfrutta OpenSSL in esecuzione su Windows.
Come misure di mitigazione per CVE-2022-3786 e CVE-2022-3602, agli utenti di OpenSSL 3.0 è raccomandato di aggiornare alla versione OpenSSL 3.0.7, in cui le falle di sicurezza scoperte sono state corrette.
Rimani un passo avanti agli attaccanti con contenuti di rilevamento curati contro qualsiasi minaccia critica o CVE sfruttabile. Raggiungi 800 regole per CVE attuali ed emergenti per identificare tempestivamente i rischi nella tua infrastruttura. Ottieni oltre 140 regole Sigma gratuitamente o ottieni l’elenco completo dei contenuti di rilevamento rilevanti tramite On Demand su https://my.socprime.com/pricing/.
