Se descubre que OpenSSL, una popular biblioteca de comunicación segura, tiene un error que puede poner el servicio en un bucle infinito de DoS.
Los investigadores dijeron que el error se relaciona con un problema de análisis dentro de ciertas versiones de OpenSSL y necesita un certificado creado con fines maliciosos para activarlo. Una vez hecho esto, pone la conexión SSL en un bucle de denegación de servicio. El equipo de OpenSSL ha publicado parches para este problema y recomienda a los usuarios que los apliquen.
Error de análisis de OpenSSL que causa DoS
La denegación de servicio (DoS) es algo que hace que un servicio legítimo se bloquee debido a actos maliciosos impulsados por actores de amenazas, con el objetivo de bloquear el servicio incluso para usuarios legítimos. Si bien esto puede no representar un gran riesgo de seguridad cibernética, puede costar una pérdida financiera a largo plazo y dañar la reputación de la marca.
Y esto es lo que pueden enfrentar los usuarios de OpenSSL si no reparan un error detectado recientemente. Encontrada por Tavis Ormandy, un investigador de seguridad de Google, la vulnerabilidad de análisis de certificados en OpenSSL puede causar un impacto significativo en todas las empresas que la utilizan.
Más tarde, el equipo de OpenSSL notó que el error se encontró en la función BN_mod_sqrt() y se puede desencadenar entregando un certificado creado con fines maliciosos para ponerlo en un bucle infinito de denegación de servicio. Los investigadores notaron que;
“Dado que el análisis de certificados ocurre antes de la verificación de la firma del certificado, cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegación de servicio”.
Se dice que todas las versiones de OpenSSL de 1.0.2 a 1.0.2zc, 1.1.1 a 1.1.1n y 3.0 a 3.0.1 están afectadas por este error. Y el equipo ha lanzado parches para ellos en forma de 1.1.1n, 3.0.2 y 1.0.2zd solo para miembros premium de la versión 1.0.2. Esto se debe a que 1.0.2 ha llegado a EOL, por lo que OpenSSL sugiere que actualicen a una versión compatible.
Rastreado como CVE-2022-0778 , el equipo de OpenSSL dijo que aún no han encontrado ninguna explotación de este error en la naturaleza. Pero la agencia nacional de ciberseguridad de Italia, CSIRT, dijo lo contrario , lo que el equipo de OpenSSL negó más tarde.
0 Comentarios