La comunidad de seguridad ha estado estudiando detenidamente una vulnerabilidad aparentemente crítica en la biblioteca de criptografía de código abierto OpenSSL, que se parcheará la tarde del martes 1 de noviembre, pero sobre la cual aún se han recibido pocos detalles.
El equipo detrás del proyecto OpenSSL, que subyace a la mayoría de los cifrados en Internet, siguió el próximo parche a la versión 3.0.7 en un aviso publicado el martes 25 de octubre. “OpenSSL 3.0.7 es una versión de corrección de seguridad. El problema de mayor gravedad solucionado en esta versión es crítico”, dijo el equipo.
El parche de cualquier vulnerabilidad en OpenSSL es un momento digno de mención: el último lanzamiento de este tipo tuvo lugar en 2016. Además, esta es la primera vulnerabilidad crítica encontrada en el componente desde que el proyecto comenzó a rastrear tales cosas a raíz de CVE-2014-0160, más comúnmente conocido como Heartbleed.
Heartbleed es una falla de codificación que podría permitir que un atacante obtenga repetidamente datos no cifrados de la memoria de los sistemas que usan versiones vulnerables de OpenSSL, y sacudió la industria hasta sus cimientos cuando se hizo público en abril de 2014.
Para muchos, el descubrimiento de una nueva vulnerabilidad crítica en OpenSSL naturalmente genera recuerdos desagradables de Heartbleed. Para otros, el uso generalizado de OpenSSL en Internet genera comparaciones con Log4Shell, uno de los errores de código abierto más impactantes jamás descubiertos, cuyas ramificaciones aún se sienten casi 12 meses después de que se descubrió por primera vez.
Pero si bien este nuevo defecto aún debe demostrar ser tan grave o posiblemente más que cualquiera de estos, como explicó Mattias Gees, líder de productos de contenedores en Venafi: “Heartbleed tuvo un impacto significativo en todos los equipos de operaciones en todo el mundo, [but] desde entonces, la infraestructura de TI se ha vuelto 10 veces más complicada.
“Cuando se descubrió Heartbleed, la mayoría de las organizaciones de TI usaban hardware dedicado o máquinas virtuales [VMs]. Pero ahora estamos en la era nativa de la nube, que ha creado contenedores avanzados y arquitecturas sin servidor”, dijo Gees.
“El vector de ataque se ha vuelto mucho más grande y, en lugar de solo tener que examinar sus máquinas virtuales, las organizaciones deben comenzar a prepararse para parchear todas las imágenes de sus contenedores en respuesta a este anuncio”.
Pero, agregó, había algunas buenas noticias en el sentido de que Log4Shell pudo haber provocado que muchos equipos de seguridad auditaran sus dependencias de código abierto, lo que podría ponerlos en una mejor posición para poder lidiar con lo que sea que esté por venir a la vuelta de la esquina.
Si han hecho esto, dijo Gees: “Estos pasos ayudarán a los equipos a implementar rápidamente una solución específica en su infraestructura. Lista de materiales del software [SBOMs] de todas las imágenes de contenedores son un gran comienzo para obtener esos conocimientos sobre las dependencias en sus aplicaciones e infraestructura”.
Que el equipo de OpenSSL haya dado a los equipos de seguridad una advertencia anticipada también es un paso un tanto inusual, pero puede ser una pequeña misericordia en el sentido de que le han dado a la gente tiempo para limpiar las cubiertas con anticipación y asegurarse de que no los sorprenda.
Paul Baird, director de seguridad técnica de Qualys, dijo que OpenSSL define una actualización crítica como aquella que afecta las configuraciones comunes y es probable que se pueda explotar de tal manera que permita una divulgación significativa del contenido de la memoria del servidor y revele detalles del usuario; puede explotarse fácilmente de forma remota para comprometer las claves privadas del servidor; o que probablemente podría conducir a la ejecución remota de código (RCE).
“Por lo tanto, este será un problema que todos tendrán que solucionar casi inmediatamente después del lanzamiento de las versiones actualizadas de OpenSSL. Desde un punto de vista de planificación y priorización, esto será en lo que muchos profesionales de seguridad dedicarán su tiempo la próxima semana”, dijo Baird.
“Las mejores prácticas aquí serían conocer todas sus implementaciones de OpenSSL, en qué versiones se encuentran y priorizar sus planes de actualización en consecuencia. Con algo como esto, ser advertido es estar preparado, ya que esperaría que haya mucho interés en los detalles de cualquier problema y cualquier lanzamiento de código de prueba de concepto, tanto de profesionales de seguridad como de malos actores”.
Lo que se sabe es que la vulnerabilidad entrante solo afecta a las versiones 3.0.x de OpenSSL, lo que significa que cualquiera que aún ejecute las versiones 1.1.1 debería estar seguro y permitirá a los equipos de seguridad descartar algunas secciones de su infraestructura de inmediato. Esto puede mitigar un poco el impacto.
Michael Clark, director de investigación de amenazas de Sysdig, y su equipo han investigado algunas de las imágenes base de contenedores más comunes, incluidas RHEL, Alpine y Debian, para averiguar si tenían OpenSSL de forma predeterminada y, de no ser así, qué versión obtendría si Fuiste e instalaste OpenSSL desde el administrador de paquetes.
Encontraron que ni RHEL/ubi8, Alpine o Debian contienen OpenSSL por defecto, ni tampoco Ubuntu, mientras que otros como Nginx y MySQL todavía están en 1.1.1. Node.js se destaca por estar en 3.0.5.
“La buena noticia es que las imágenes del contenedor del sistema operativo no suelen tener OpenSSL instalado de forma predeterminada. No es sorprendente, ya que es una buena forma mantener las imágenes del contenedor lo más mínimas posible. La mayoría de las instalaciones del administrador de paquetes predeterminado tampoco usan OpenSSL 3.0.x”, dijo Clark.
“Es mucho más probable que las imágenes de aplicaciones tengan instalada una versión de OpenSSL. También hay mucha variación de versión con las aplicaciones y las versiones de OpenSSL”.
Chris Dobrec, vicepresidente de productos y soluciones industriales de Armis, agregó que OpenSSL proporciona una utilidad de línea de comandos que se puede consultar para averiguar qué versión de OpenSSL se está ejecutando, pero señaló que aún era importante buscar soluciones no estándar. instalaciones que puedan estar en uso en otros lugares.