Resumen: Hace algunos días fue descubierta una vulnerabilidad en la biblioteca de OpenSSL, cuya explotación podría activar una función de bucle infinito y eventualmente provocar una denegación de servicio (DDoS).
OpenSSL es una biblioteca de criptografía de propósito general, que proporciona implementaciones de código abierto de los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS).
Ahora bien, aunque los ataques de denegación de servicio no suelen ser muy peligrosos, la falla podría repercutir significativamente en los sistemas de un gran número de usuarios, puesto que OpenSSL es un software bastante popular entre diversas plataformas en línea.
Rastreado como CVE-2022-0778, el fallo de severidad alta radica en un error de la función BN_mod_sqrt( ) utilizada para analizar certificados. Los actores de la amenaza podrían desencadenar un bucle infinito, mediante la creación de un certificado malicioso específicamente diseñado para realizar un análisis. De acuerdo con el aviso de seguridad de OpenSSL, dado que el análisis del certificado se lleva a cabo antes de la verificación de la firma del mismo, cualquier proceso que analice un certificado suministrado de manera externa, podría ser objeto de un ataque de denegación de servicio. Versiones de OpenSSL afectadas: Versiones entre la 1.0.2 y la 1.0.2zc Versiones entre la 1.1.1 y la 1.1.1n Versiones entre la 3.0 y la 3.0.1.
Del mismo modo, el fallo está presente en múltiples escenarios tales como: clientes TLS que consumen certificados del servidor, proveedores de alojamiento que toman certificados o claves privadas de los clientes, autoridades de certificación que analizan las solicitudes de certificación de los suscriptores, servidores TLS que consumen los certificados de sus clientes y en cualquier otra cosa que analice los parámetros de curva elíptica ASN.1.
En vista de que la vulnerabilidad podría tener amplias repercusiones en diversas implementaciones, los desarrolladores de OpenSSL han publicado una serie de actualizaciones de seguridad para solucionar el problema.
Es indispensable que los usuarios instalen inmediatamente las actualizaciones de seguridad, para mitigar la posible explotación de CVE-2022-0778. Si bien la falla aún no es explotada activamente en la red, la misma posee una baja complejidad de explotación, por lo que es solo cuestión de tiempo para que los actores de la amenaza comiencen a utilizarla en ataques.
Recomendaciones: Se le insta a los administradores a instalar cualquiera de las versiones corregidas, ya sea la 1.1.1n o la 3.0.2.
Para los usuarios prémium, únicamente se ofrecerá una solución de seguridad, de la 1.0.2 a la 1.0.2zd.
Referencias: |
SÍGUENOS