「 深蓝洞察 」2022 年度最名不副实的“高危”漏洞
有人注意到了,这是自 2016 年以来,OpenSSL 第一次修复 CRITICAL 等级的漏洞。这一下子把业界拉回到了心脏滴血漏洞的时代。鉴于 OpenSSL 的广泛影响,公告发布后一周内,各种谣言、揣测喧嚣尘上。互联网上充满了又一场安全灾难即将到来的气氛,不知道多少运维人员因此调整了万圣节休假计划。
靴子最终落地了。OpenSSL 3.0.7 在 11 月 1 号如期发布 ,并公开了修复的两个漏洞细节:CVE-2022-3602 和 CVE-2022-3786。CVE-2022-3602,被标识为 High 等级(从最初判定的 CRITICAL 降级而来),是一个典型的“off by one”漏洞,导致栈上溢出写可控的 4 字节。CVE-2022-3786,被标识为 High 等级,是一个栈溢出漏洞,导致攻击者可以在栈上溢出写任意多个“.”字符。
这两个漏洞到底有什么危害呢?业界很多攻击研究团队都有独立的研究分析。简单来说,截至目前,结论是这两个漏洞都不大可能转化为有效利用。
其中,最初被判定为 CRITICAL 的 CVE-2022-3602,甚至在很多情况下都不会触发崩溃。一方面,OpenSSL 的编译选项中开启了栈 cookie 保护;另一方面,在有些编译器优化导致的栈对齐和栈布局策略下,这个 4 字节的溢出并不会真正破坏程序执行状态。至于 CVE-2022-3786,由于无法控制溢出内容,只能用固定的“.”字符破坏栈,也被认为无法再次转化利用。
直到新版本发布,这两个漏洞的有效利用代码都没有出现,也没有发现这两个漏洞存在任何在野利用案例。因此,在 11 月 1 日的公告中,OpenSSL 自己也改口,将最初判定为 CRITICAL 的 CVE-2022-3602 降级到 “High(高危)”。
从最初公告的“惊心动魄”到新版本发布之后的“静静悄悄”,OpenSSL 这次的安全修复属实是高高举起又轻轻放下,上演了漏洞修复版的“狼来了”。
想象一下,下一次 OpenSSL 再发布“CRITICAL”漏洞公告,还会有人紧张吗?
OpenSSL 对漏洞的过度反应,与微软对漏洞的不承认(本报告第二篇),形成了令人啼笑皆非的鲜明对比。
行业领军者尚且如此,其他厂商在处理漏洞时的茫然也可想而知。
本质上,两个乌龙案例,一个涉及漏洞定级,一个涉及漏洞定性。
OpenSSL 案例反映出,漏洞的可利用性判定依旧是行业尚未很好解决的问题。
对于漏洞,不仅需要科学合理的处理态度,还需要一个更科学专业的标准参考,既不能置之不理,也不应盲目夸大。
参 考:
[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
[2] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
[3] https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#notes-on-exploitability-leading-to-rce
[4] https://www.trellix.com/en-us/about/newsroom/stories/research/openssl-3-0-vulnerabilities.html
[5] https://www.openssl.org/news/secadv/20221101.txt
下篇预告
与客户端系统漏洞相比,
云端漏洞无论挖掘还是修复,
都更加秘而不宣。
我们更容易着手研究和公开看到的,
多数都属硬核级别。
下面一篇,可能会给云端研究员带来一些新的提示。
请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第七篇:
本期关键词
专 业
所谓专业,大概就是纯粹,深耕,积累,极致;还有,永不停歇的学习。
加入专注漏洞利用与对抗行业的 DarkNavy,和我们一起,用专业,服务专业。
DarkNavy 旗下 - iDN 深蓝创新 商务运营高级总监岗位现开放招募中,简历请至CoD@DarkNavy.com
扫码进 DarkNavy 官方交流群
你的洞见 群里见