Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Avviso di sicurezza OpenSSL

1 novembre 2022
Luke Richards
Threat Intelligence Lead
Avviso di sicurezza OpenSSL

CVE-2022-3602 e CVE-2022-3768

Il 1° novembre 2022, dopo aver anticipato la notizia la settimana precedente, OpenSSL ha pubblicato un avviso in cui descriveva due rischi relativi alle versioni 3.0.0 - 3.0.6 di OpenSSL. Inizialmente era stato anticipato come un avviso di livello critico, che sarebbe stato il primo dal 2015, ma è stato poi declassato a livello elevato a causa di quelli che OpenSSL definisce "fattori attenuanti".

Le due vulnerabilità si basano su overflow del buffer nel campo Indirizzo e-mail di un certificato X509. Creando un indirizzo e-mail specifico, un aggressore potrebbe causare un overflow e controllare 4 byte nello stack del sistema di destinazione CVE-2022-3602, oppure, aggiungendo un carattere specifico all'indirizzo e-mail, potrebbe causare un overflow del buffer e mandare in crash il sistema CVE-2022-3768. Queste due vulnerabilità potrebbero, di per sé, sembrare in grado di danneggiare tutto contemporaneamente, tuttavia i fattori attenuanti sono piuttosto importanti.

Il primo fattore attenuante è che queste due vulnerabilità richiedono un certo livello di interazione da parte del client o del server preso di mira. In entrambi i casi, un client che esegue OpenSSL3.0 dovrebbe visitare un server dannoso che ospita un certificato x509 dannoso. Sebbene ciò non sia impossibile nelle operazioni quotidiane, sarebbe comunque necessario che un utente clicchi su un link o apra un documento per essere compromesso. Sebbene ciò sia piuttosto comune, esistono modi più semplici per eseguire un codice remoto rispetto all'utilizzo di una vulnerabilità OpenSSL.

Dal lato server, il server preso di mira dovrebbe richiedere un certificato di autenticazione client a un client dannoso. Questa non è una configurazione normale per i server connessi a Internet ed è più probabile che venga utilizzata nei dispositivi locali. A questo punto, sarebbe necessario che una terza parte dannosa fosse abbastanza vicina da poter prendere di mira una rete.

Un altro importante fattore attenuante per queste vulnerabilità è che i certificati utilizzati dovrebbero essere firmati da un'autorità di certificazione (CA) affidabile, oppure l'applicazione dovrebbe continuare senza essere in grado di stabilire un percorso verso una CA affidabile per attivare questi overflow. Si tratta di un compito non banale per la maggior parte degli aggressori: sebbene esistano modi per utilizzare autorità di firma più aperte, è altamente probabile che questi fornitori controllino le richieste di firma dei certificati al fine di individuare i campi degli indirizzi e-mail che potrebbero essere dannosi.

Inoltre, non sono molti i sistemi che utilizzano OpenSSL3.0. Il numero non è certo pari a zero, ma per dare un'idea della situazione, due dei principali sistemi operativi server non Windows, RHEL e Ubuntu, hanno appena incorporato OpenSSL3.0 nelle loro piattaforme quest'anno. RHEL 9 è stato rilasciato nel maggio 2022 e Ubuntu 22.04 nell'agosto 2022. Ciò significa che molti amministratori di sistema potrebbero non aver avuto la possibilità di eseguire l'aggiornamento a questi rami, che sono solo le versioni LTS più recenti, quindi potrebbe non esserci la necessità di eseguire l'aggiornamento. Tuttavia, va notato che queste versioni potrebbero essere utilizzate per creare container Docker e altre applicazioni containerizzate.

Infine, OpenSSL non ha rilevato alcun caso di sfruttamento di queste vulnerabilità, quindi non si tratta di una patch fuori banda in cui è in corso una campagna di attacchi. Ciononostante, si consiglia comunque di applicare la patch ai sistemi che utilizzano OpenSSL3.0.0-3.0.6 fino alla versione 3.0.7.

Vectra non dispone di un rilevamento specifico o di una ricerca salvata implementata per individuare potenziali utilizzi di queste vulnerabilità specifiche; tuttavia, come per tutte le vulnerabilità che prendono di mira l'infrastruttura o i client, la vulnerabilità è solo il primo vettore di infezione in una compromissione in corso. Se un client o un server venisse compromesso utilizzando le tecniche sopra descritte, è probabile che venga implementato un impianto o un trojan. In questi casi, i clienti potrebbero aspettarsi i seguenti rilevamenti:

  • Tunnel DNS nascosto
  • Tunnel HTTP nascosto
  • Tunnel HTTPS nascosto
  • Accesso remoto esterno
  • Match delle informazioni sulle minacce Vectra
  • Tunnel multi-home fronted

Questi coprirebbero strumenti dannosi e comportamenti C2 degli impianti indipendentemente dalla vulnerabilità utilizzata per distribuirli.

Poiché ciò rientrerebbe in una campagna in corso, è prevedibile che si verifichino anche movimenti laterali, nel qual caso Vectra fornisce copertura per le seguenti tecniche:

  • Esecuzione remota sospetta
  • Anomalia dei privilegi: servizio insolito
  • Anomalia dei privilegi: account insolito sull'host
  • Desktop remoto sospetto
  • Anomalia dei privilegi: servizio insolito – Insider
  • Anomalia dei privilegi: Trio insolito, Anomalia dei privilegi: Ospite insolito
  • Anomalia dei privilegi: servizio insolito da parte dell'host
  • Amministratore sospetto

Indipendentemente dallo strumento utilizzato, questi rilevamenti sono progettati per fornire copertura ai comportamenti che gli aggressori utilizzano dopo aver compromesso il sistema per raggiungere i loro obiettivi finali all'interno del vostro ambiente.

Domande frequenti