OpenSSL es una biblioteca de criptografía ampliamente utilizada que proporciona una implementación de código abierto de los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS). Incluye herramientas para generar claves privadas RSA y realizar cifrado y descifrado, entre otras tareas.
Una vulnerabilidad crítica en OpenSSL podría permitir que un actor de amenazas logre la ejecución remota de código (RCE) en dispositivos del lado del servidor.
Corrupción de la memoria heap con de clave privada RSA (CVE-2022-2274)
La versión OpenSSL 3.0.4 introdujo un error grave en la implementación de RSA para las CPU X86_64 que admiten las instrucciones AVX512IFMA.
Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y la memoria se dañará durante el cálculo. Como consecuencia de la corrupción de la memoria, un atacante puede desencadenar una ejecución remota de código en la máquina que realiza el cálculo.
Servidores SSL/TLS u otros servidores que utilizan claves privadas RSA de 2048 bits que se ejecutan en máquinas compatibles con las instrucciones AVX512IFMA de la arquitectura X86_64 están afectados.
Una máquina vulnerable, la prueba adecuada de OpenSSL fallaría y debería notarse antes de la implementación.
MITIGACIÓN
Los usuarios de la versión OpenSSL 3.0.4 deben actualizar a OpenSSL 3.0.5.
OpenSSL 1.1.1 y 1.0.2 no se ven afectados por este problema. Este problema fue informado a OpenSSL el 22 de junio de 2022 por Xi Ruoyao.
La solución fue desarrollada por Xi Ruoyao.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad