Se publicó un aviso de seguridad que afecta a la versión de la biblioteca OpenSSL utilizada en algunos productos de Fortinet. Según el reporte, la función BN_mod_sqrt() contiene un error que puede hacer que se repita indefinidamente para módulos no primos.
Internamente, esta función se usa cuando se analizan certificados que contienen claves públicas de curva elíptica en forma comprimida o parámetros de curva elíptica explícitos con un punto base codificado en forma comprimida.
Es posible activar un loop infinito creando un certificado que tenga parámetros de curva explícitos no válidos. Dado que el análisis del certificado ocurre antes de la verificación de la firma del certificado, cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegación de servicio.
El loop infinito también se puede alcanzar al analizar claves privadas diseñadas, ya que pueden contener parámetros de curva elíptica explícitos.
- Las situaciones vulnerables incluyen:
- Clientes TLS que consumen certificados de servidor
- Servidores TLS que consumen certificados de cliente
- Proveedores de hosting que toman certificados o claves privadas de los clientes
- Autoridades de certificación que analizan solicitudes de certificación de suscriptores
Esta tabla incluye todos los productos afectados:
La falla ha sido identificada como CVE-2022-0778, aunque no ha recibido un puntaje según el Common Vulnerability Scoring System (CVSS).
Los actores de amenazas pueden usar un certificado autofirmado para activar el bucle durante la verificación de la firma del certificado. Este problema afecta a las versiones 1.0.2, 1.1.1 y 3.0 de OpenSSL. Se abordó en las versiones 1.1.1n y 3.0.2 del 15 de marzo de 2022. Corregido en OpenSSL 3.0.2 (afectado 3.0.0, 3.0.1).
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
