查看原文
其他

「 深蓝洞察 」2022 年度最名不副实的“高危”漏洞

深蓝 DarkNavy 2023-02-28


本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第六篇。


一个漏洞,危险级别如何判定?现有的若干标准,往往在实践中水土不服。于是就有了下面 2022 年漏洞版“狼来了”的案例。




2022 年 10 月 25 日,OpenSSL 发表公告 ,将在 11 月 1 号发布新版本 3.0.7。这个公告立刻引发了业界的重点关注,因为在简短的公告中有这么一句话: OpenSSL 3.0.7 is a security-fix release. The highest severity issue fixed in this release is CRITICAL”即“OpenSSL 3.0.7 是一个安全修复版本。此版本中修复的最严重问题是 CRITICAL(最高等级)”!
有人注意到了,这是自 2016 年以来,OpenSSL 第一次修复 CRITICAL 等级的漏洞。这一下子把业界拉回到了心脏滴血漏洞的时代。鉴于 OpenSSL 的广泛影响,公告发布后一周内,各种谣言、揣测喧嚣尘上。互联网上充满了又一场安全灾难即将到来的气氛,不知道多少运维人员因此调整了万圣节休假计划。


靴子最终落地了。OpenSSL 3.0.7 在 11 月 1 号如期发布 ,并公开了修复的两个漏洞细节:CVE-2022-3602 和 CVE-2022-3786。CVE-2022-3602,被标识为 High 等级(从最初判定的 CRITICAL 降级而来),是一个典型的“off by one”漏洞,导致栈上溢出可控的 4 字节。CVE-2022-3786,被标识为 High 等级,是一个栈溢出漏洞,导致攻击者可以在栈上溢出任意多个“.”字符。
这两个漏洞到底有什么危害呢?业界很多攻击研究团队都有独立的研究分析。简单来说,截至目前,结论是这两个漏洞都不大可能转化为有效利用。
其中,最初被判定为 CRITICAL 的 CVE-2022-3602,甚至在很多情况下都不会触发崩溃。一方面,OpenSSL 的编译选项中开启了栈 cookie 保护;另一方面,在有些编译器优化导致的栈对齐和栈布局策略下,这个 4 字节的溢出并不会真正破坏程序执行状态。至于 CVE-2022-3786,由于无法控制溢出内容,只能用固定的“.”字符破坏栈,也被认为无法再次转化利用。


直到新版本发布,这两个漏洞的有效利用代码都没有出现,也没有发现这两个漏洞存在任何在野利用案例。因此,在 11 月 1 日的公告中,OpenSSL 自己也改口,将最初判定为 CRITICAL 的 CVE-2022-3602 降级到 “High(高危)”。
从最初公告的“惊心动魄”到新版本发布之后的“静静悄悄”,OpenSSL 这次的安全修复属实是高高举起又轻轻放下,上演了漏洞修复版的“狼来了”
想象一下,下一次 OpenSSL 再发“CRITICAL”漏洞公告,还会有人紧张吗?






OpenSSL 对漏洞的过度反应,与微软对漏洞的不承认(本报告第二篇),形成了令人啼笑皆非的鲜明对比。

行业领军者尚且如此,其他厂商在处理漏洞时的茫然也可想而知。


本质上,两个乌龙案例,一个涉及漏洞定级,一个涉及漏洞定性。

OpenSSL 案例反映出,漏洞的可利用性判定依旧是行业尚未很好解决的问题。

对于漏洞,不仅需要科学合理的处理态度,还需要一个更科学专业的标准参考,既不能置之不理,也不应盲目夸大。


参  考:

[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

[2] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

[3] https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#notes-on-exploitability-leading-to-rce

[4] https://www.trellix.com/en-us/about/newsroom/stories/research/openssl-3-0-vulnerabilities.html

[5] https://www.openssl.org/news/secadv/20221101.txt


下篇预告


与客户端系统漏洞相比,

云端漏洞无论挖掘还是修复,

都更加秘而不宣。

我们更容易着手研究和公开看到的,

多数都属硬核级别。

下面一篇,可能会给云端研究员带来一些新的提示。


请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第七篇:








本期关键词

专   业




所谓专业,大概就是纯粹,深耕,积累,极致;还有,永不停歇的学习。
加入专注漏洞利用与对抗行业的 DarkNavy,和我们一起,用专业,服务专业。
DarkNavy 旗下 - iDN 深蓝创新 商务运营高级总监岗位现开放招募中,简历请至CoD@DarkNavy.com



扫码进 DarkNavy 官方交流群
你的洞见  群里见

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存