CVE-2022-3602 & CVE-2022-3786: Novas Vulnerabilidades Críticas do OpenSSL
Índice:
Devido a um número em constante evolução de vulnerabilidades que afetam produtos de software de código aberto, a detecção proativa da exploração de vulnerabilidades permanece como um dos casos de uso de segurança mais comuns segundo o mais recente relatório de Inovação em Detecção como Código da SOC Prime. No início de novembro de 2022, algumas novas vulnerabilidades na biblioteca de software OpenSSL, identificadas como CVE-2022-3602 e CVE-2022-3786, recentemente vieram à tona, chamando a atenção dos defensores cibernéticos. Em 1º de novembro de 2022, OpenSSL emitiu um comunicado de segurança cobrindo os detalhes da primeira falha de segurança rastreada como CVE-2022-3602. As vulnerabilidades recém-descobertas afetam as versões do OpenSSL de 3.0.0 a 3.0.6, expondo os usuários deste software a tentativas de exploração potencial.
Cenários de Detecção de Exploits da Vulnerabilidade Punycode do OpenSSL
Vulnerabilidades críticas que afetam produtos de software de código aberto estão constantemente causando agitação na arena de ameaças cibernéticas. Logo após o Text4Shell, uma vulnerabilidade RCE no Apache Commons Text, os defensores cibernéticos estão enfrentando novas ameaças relacionadas às falhas de segurança recém-descobertas na biblioteca de código aberto OpenSSL e rastreadas como CVE-2022-3602 e CVE-2022-3786. Datadog Security Labs recentemente lançou uma pesquisa detalhada abordando os possíveis cenários de detecção relacionados a tentativas de exploração do CVE-2022-3602.
Obtenha um conjunto de regras Sigma para detectar a atividade maliciosa potencialmente associada ao CVE-2022-3602 que pode resultar em execução remota de código (RCE). Todo o conjunto de regras é baseado em pesquisa do Datadog Security Labs.
As detecções são compatíveis com 24 tecnologias SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando as táticas de Acesso Inicial, Persistência, Comando e Controle, com Exploração de Aplicações Voltadas ao Público (T1190), Componente de Software de Servidor (T1505) e Resolução Dinâmica (T1637) como as técnicas correspondentes.
Clique no botão Explorar Detecções para acessar instantaneamente regras Sigma para o CVE-2022-3602, links CTI correspondentes, referências ATT&CK e ideias de caça a ameaças.
Descrição do CVE-2022-3786 e CVE-2022-3602
OpenSSL é uma biblioteca de criptografia de código aberto para comunicação segura baseada nos protocolos SSL e TLS. A versão 3 da biblioteca, lançada em setembro de 2021, foi encontrada vulnerável a algumas falhas de segurança recém-reveladas, conhecidas como CVE-2022-3602 e CVE-2022-378. Um overflow de buffer envolvendo essas vulnerabilidades pode ser acionado em um cliente TLS ao estabelecer uma conexão com um servidor malicioso. Além disso, as falhas de segurança do OpenSSL podem ser potencialmente exploradas em um servidor TLS se o mesmo solicitar autenticação do cliente e caso o cliente malicioso consiga se conectar com sucesso ao servidor comprometido. O estouro de buffer pode causar uma negação de serviço e potencialmente acionar um RCE.
A vulnerabilidade punycode do OpenSSL CVE-2022-3602 recebeu uma avaliação de alta severidade de acordo com o comunicado de segurança dedicado do OpenSSL. A falha de segurança descoberta existe na função específica do OpenSSL para decodificar nomes de domínio punycode. Atores de ameaça podem potencialmente explorar a vulnerabilidade CVE-2022-3602 gerando um certificado personalizado com um punycode no domínio do campo do endereço de email.
Embora atualmente não haja código de exploração PoC público disponível para o CVE-2022-3602, os pesquisadores da Datadog criaram seu próprio cenário vulnerável no Windows e ofereceram um exploit DoS PoC que abusa do OpenSSL em execução no Windows.
Como medidas de mitigação para CVE-2022-3786 e CVE-2022-3602, recomenda-se que os usuários do OpenSLL 3.0 atualizem para a versão 3.0.7 do OpenSSL, na qual as falhas de segurança descobertas são corrigidas.
Fique um passo à frente dos atacantes com conteúdo de detecção curado contra qualquer ameaça crítica ou qualquer CVE explorável. Alcance 800 regras para CVEs atuais e emergentes para identificar oportunamente os riscos em sua infraestrutura. Obtenha 140+ regras Sigma gratuitamente ou obtenha a lista abrangente de conteúdo de detecção relevante via On Demand em https://my.socprime.com/pricing/.
