「 深蓝洞察 」2022 年度最名不副实的“高危”漏洞
2023-2-24 21:10:20 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第六篇。
一个漏洞,危险级别如何判定?
现有的若干标准,往往在实践中水土不服。
于是就有了下面 2022 年漏洞版“狼来了”的案例。


2022 年 10 月 25 日,OpenSSL 发表公告 ,将在 11 月 1 号发布新版本 3.0.7。
这个公告立刻引发了业界的重点关注,因为在简短的公告中有这么一句话: 
OpenSSL 3.0.7 is a security-fix release. The highest severity issue fixed in this release is CRITICAL
即“OpenSSL 3.0.7 是一个安全修复版本。此版本中修复的最严重问题是 CRITICAL(最高等级)”!
有人注意到了,这是自 2016 年以来,OpenSSL 第一次修复 CRITICAL 等级的漏洞。
这一下子把业界拉回到了心脏滴血漏洞的时代。
鉴于 OpenSSL 的广泛影响,公告发布后一周内,各种谣言、揣测喧嚣尘上。
互联网上充满了又一场安全灾难即将到来的气氛,不知道多少运维人员因此调整了万圣节休假计划。

靴子最终落地了。
OpenSSL 3.0.7 在 11 月 1 号如期发布 ,并公开了修复的两个漏洞细节:CVE-2022-3602 和 CVE-2022-3786。
CVE-2022-3602,被标识为 High 等级(从最初判定的 CRITICAL 降级而来),是一个典型的“off by one”漏洞,导致栈上溢出可控的 4 字节。
CVE-2022-3786,被标识为 High 等级,是一个栈溢出漏洞,导致攻击者可以在栈上溢出任意多个“.”字符。
这两个漏洞到底有什么危害呢?
业界很多攻击研究团队都有独立的研究分析。
简单来说,截至目前,结论是这两个漏洞都不大可能转化为有效利用。
其中,最初被判定为 CRITICAL 的 CVE-2022-3602,甚至在很多情况下都不会触发崩溃。
一方面,OpenSSL 的编译选项中开启了栈 cookie 保护;另一方面,在有些编译器优化导致的栈对齐和栈布局策略下,这个 4 字节的溢出并不会真正破坏程序执行状态。
至于 CVE-2022-3786,由于无法控制溢出内容,只能用固定的“.”字符破坏栈,也被认为无法再次转化利用。

直到新版本发布,这两个漏洞的有效利用代码都没有出现,也没有发现这两个漏洞存在任何在野利用案例。
因此,在 11 月 1 日的公告中,OpenSSL 自己也改口,将最初判定为 CRITICAL 的 CVE-2022-3602 降级到 “High(高危)”。
从最初公告的“惊心动魄”到新版本发布之后的“静静悄悄”,OpenSSL 这次的安全修复属实是高高举起又轻轻放下,上演了漏洞修复版的“狼来了”
想象一下,下一次 OpenSSL 再发CRITICAL漏洞公告,还会有人紧张吗?

OpenSSL 对漏洞的过度反应,与微软对漏洞的不承认(本报告第二篇),形成了令人啼笑皆非的鲜明对比。

行业领军者尚且如此,其他厂商在处理漏洞时的茫然也可想而知。

本质上,两个乌龙案例,一个涉及漏洞定级,一个涉及漏洞定性。

OpenSSL 案例反映出,漏洞的可利用判定依旧是行业尚未很好解决的问题。

对于漏洞,不仅需要科学合理的处理态度,还需要一个更科学专业的标准参考,既不能置之不理,也不应盲目夸大。

参  考:

[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

[2] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

[3] https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#notes-on-exploitability-leading-to-rce

[4] https://www.trellix.com/en-us/about/newsroom/stories/research/openssl-3-0-vulnerabilities.html

[5] https://www.openssl.org/news/secadv/20221101.txt

下篇预告

与客户端系统漏洞相比,

云端漏洞无论挖掘还是修复,

都更加秘而不宣。

我们更容易着手研究和公开看到的,

多数都属硬核级别。

下面一篇,可能会给云端研究员带来一些新的提示。

请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第七篇:


本期关键词

专   业

所谓专业,
大概就是纯粹,深耕,积累,极致;
还有,
永不停歇的学习。
加入专注漏洞利用与对抗行业的 DarkNavy,和我们一起,用专业,服务专业。
DarkNavy 旗下 - iDN 深蓝创新 
商务运营高级总监
岗位现开放招募中,简历请至
[email protected]


扫码进 DarkNavy 官方交流群
你的洞见  群里见


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMjM5MTk3NQ==&mid=2247484217&idx=1&sn=ef0e2af1d67045091c71bd5e187ff4be&chksm=c1f447f1f683cee731e18958facf61d1421973c72d470155d6ccb655625a3dfd244acfc79a7d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh