En el resumen de esta semana, hablaremos de:
- un aviso de seguridad de OpenSSL versión 3.0.0;
- una vulnerabilidad de desbordamiento de límites de matriz Sqlite; y
- un ataque GitHub repojacking.
Aviso de seguridad de Openssl
OpenSSL 3.0.0 ha solucionado recientemente dos vulnerabilidades: CVE-2022-3602 y CVE-2022-3786.
CVE-2022-3602, calificado como crítico (9.8/10), implica un desbordamiento de búfer de pila de 4 bytes que puede conducir a DoS o Ejecución de Código. Para una explotación exitosa, el objetivo necesita realizar la validación de certificado X509 de un certificado malicioso, específicamente la comprobación de restricción de nombre. Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Dicho esto, el ataque podría verse frustrado por las protecciones contra desbordamientos de pila que suelen estar activadas en los sistemas operativos modernos. En un principio, OpenSSL calificó la vulnerabilidad de crítica, pero un análisis posterior llevó a rebajar la gravedad a alta. Aunque en el momento de escribir estas líneas la puntuación base es de 9,8 (crítica).
CVE-2022-3786, con una calificación alta (7,5/10), es otro desbordamiento de búfer que se desencadena por un certificado tls malicioso. De forma similar a la vulnerabilidad mencionada anteriormente, el ataque implica que un atacante elabore un certificado con una dirección de correo electrónico maliciosa. La diferencia radica en los caracteres que se pueden utilizar para provocar un desbordamiento, que se limita al carácter `.' (decimal 46), lo que provoca la caída del servicio o denegación de servicio.
Se recomienda a los usuarios que utilizan OpenSSL 3.0 que actualicen a la última versión lo antes posible. Esta entrada del blog podría ser útil para ayudar a los usuarios a determinar si tienen la versión vulnerable de la biblioteca en uso en sus entornos.
Vulnerabilidad de desbordamiento de límites de matriz en Sqlite
TrailofBits reveló una vulnerabilidad de alta gravedad en una popular biblioteca DBMS Sqlite recientemente parcheada El CVE asignado a esta vulnerabilidad es CVE-2022-35737 y tiene una calificación de 7,5/10.
La vulnerabilidad es un desbordamiento de matriz en SQLite 1.0.12 hasta 3.39.x antes de 3.39.2 y afecta a las aplicaciones que utilizan la API de la biblioteca SQLite. La explotabilidad depende de cómo se compile SQLite; si el programa se compila sin los canarios de pila habilitados, es posible la ejecución de código. La vulnerabilidad se introdujo en la versión 1.0.12, publicada el 17 de octubre de 2000.
Según la fuente, "En sistemas vulnerables, CVE-2022-35737 es explotable cuando se pasan entradas de cadena grandes a las implementaciones SQLite de las funciones printf y cuando la cadena de formato contiene los tipos de sustitución de formato %Q, %q o %w". Esto reduce la superficie de ataque y la probabilidad de que una aplicación sea realmente explotable a través de esta vulnerabilidad, aunque sigue siendo muy recomendable que los usuarios evalúen el riesgo dentro del contexto de su uso del componente.
La versión parcheada de SQLite v3.39.2 está disponible para que los usuarios la actualicen en sus aplicaciones. Los usuarios que dependan de herramientas que utilicen la biblioteca SQLite vulnerable deberán esperar a que los mantenedores del código publiquen el parche. Trailofbits también ha publicado el exploit POC que se puede encontrar en GitHub.
Github Repojacking
Checkmarx ha revelado otro método de ataque a la cadena de suministro dirigido a los repositorios de código alojados en github.com. El ataque se denomina repojacking y consiste en apoderarse de un repositorio saltándose un control de seguridad preexistente establecido por Microsoft para este tipo de ataques. Este control se denomina "popular-repository-namespace-retirement" y básicamente impide a los usuarios de GitHub crear repositorios con un nombre que coincida con el utilizado anteriormente por un usuario desactivado con el mismo nombre de usuario si el repositorio tenía más de 100 clones en la semana anterior al cambio de nombre de usuario. GitHub lo implementó como medida de mitigación después de que checkmarx revelara una vulnerabilidad similar en 2021.
El nuevo ataque sortea la mitigación aprovechando una función de github llamada transferencia de repositorios. Así es como se lleva a cabo el ataque:
- "victim/repo" es un repositorio popular de GitHub retirado bajo la protección "retiro de repositorios populares".
- "helper_account" crea el repositorio "repo
- "cuenta_ayudante" transfiere la propiedad del repositorio "repo" a "cuenta_atacante"
- "cuenta_atacante" renombra su nombre de usuario a "víctima"
- La nueva cuenta "víctima" (antes "cuenta_atacante") acepta la transferencia de propiedad y, básicamente, se hace cargo del repositorio de destino.
Se ha aplicado la corrección para esta vulnerabilidad. Checkmarx también ha publicado una herramienta para comprobar qué dependencias directas de golang podrían ser vulnerables a este tipo de ataque.
Comentarios