La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de dos vulnerabilidades de severidad alta en OpenSSL que podrían permitir a un atacante causar una condición de denegación de servicio o realizar una ejecución remota de código.
OpenSSL es una biblioteca de criptografía de código abierto ampliamente utilizada por aplicaciones, sistemas operativos y sitios web para asegurar las comunicaciones a través de Internet utilizando SSL (Secure Sockets Layer) y TLS (Transport Layer Security).
Los investigadores, Polar Bear y Viktor Dukhovni, han reportado 2 vulnerabilidades de severidad alta que afectan a esta biblioteca que podrían permitir a un atacante causar una condición de denegación de servicio o realizar una ejecución remota de código.
Los dos fallos de seguridad publicados se producen al realizar la comprobación de restricciones de nombres durante la verificación de certificados X.509, ya que se podría producir un desbordamiento de búfer. Un atacante podría crear una dirección de correo electrónico maliciosa para desbordar 4 bytes controlados en la pila (CVE-2022-3602) o para desbordar un número arbitrario de bytes que contengan el carácter '.' correspondiente al valor 46 en decimal (CVE-2022-3786).
Ambas vulnerabilidades podrían producirse en un cliente TLS al conectarse a un servidor malicioso. En un servidor TLS, podrían desencadenarse si el servidor solicita la autenticación del cliente, y se conecta un cliente malicioso.
Las versiones 3.0.0 y superiores de OpenSSL son vulnerables. La mayoría de las implementaciones de OpenSSL que se utilizan hoy en día emplean la versión 1.1.1 o 1.0.2; sin embargo, OpenSSL 3 se incluye en muchas versiones de Linux, como RedHat, Fedora, CentOS, Linux Mint y otras.
Los contenedores Docker suelen incluir alguna versión de OpenSSL, pero qué versión y si es vulnerable dependerá de la configuración original. La biblioteca también puede instalarse opcionalmente en dispositivos macOS y Windows, aunque por defecto los Macs ejecutan la biblioteca LibreSSL, que no está afectada. Las versiones vulnerables de OpenSSL también se utilizan en software de desarrollo popular como Gradle, herramientas de privacidad como TOR y plataformas de seguridad como Kali Linux.
El NCSC-NL (Centro Nacional de Ciberseguirdad holandés) ha publicado un listado con información sobre las versiones incluidas por varios fabricantes.
Vulnerable
No vulnerable
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Actualizar inmediatamente OpenSSL en sistemas o en aplicaciones a la versión 3.0.7.
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud