Se ha descubierto que OpenSSL, una popular biblioteca de comunicación segura, tiene un error que puede poner el servicio en un bucle infinito de DoS.
Los investigadores dijeron que el error se relaciona con un problema de análisis dentro de ciertas versiones de OpenSSL y que se necesita un certificado creado con fines malintencionados para activarlo. Una vez que esto sucede, pone la conexión SSL en un bucle de denegación de servicio. El equipo de OpenSSL ha publicado parches para este problema y recomienda a los usuarios que los apliquen.
Error de análisis de OpenSSL que provoca denegación de servicio
La denegación de servicio (DoS) es un ataque que provoca el bloqueo de un servicio legítimo debido a actos maliciosos perpetrados por actores de amenazas con el objetivo de bloquear el servicio incluso para usuarios legítimos. Si bien esto puede no representar un gran riesgo de ciberseguridad, puede generar pérdidas financieras a largo plazo y dañar la reputación de la marca.
Y esto es lo que pueden afrontar los usuarios de OpenSSL si no solucionan un error detectado recientemente. Tavis Ormandy, un investigador de seguridad de Google, descubrió una vulnerabilidad de análisis de certificados en OpenSSL que puede tener un impacto significativo en todas las empresas que lo utilicen.
Fue divertido trabajar en esto. @davidben__ ayudó a rastrearlo hasta un error en la implementación de Tonelli-Shanks en OpenSSL. https://t.co/AYvpBLwNvJ
— Tavis Ormandy (@taviso) 15 de marzo de 2022
Posteriormente, el equipo de OpenSSL lo notó., El error se encontró en la función BN_mod_sqrt() y puede activarse al entregar un certificado creado con fines malintencionados para ponerlo en un bucle infinito de denegación de servicio. Los investigadores observaron que:
Se dice que todas las versiones de OpenSSL de 1.0.2 a 1.0.2zc, 1.1.1 a 1.1.1n y 3.0 a 3.0.1 están afectadas por este error. El equipo ha publicado parches para ellos en forma de 1.1.1n, 3.0.2 y 1.0.2zd solo para miembros premium de la versión 1.0.2. Esto se debe a que la versión 1.0.2 ha llegado al final de su vida útil, por lo que OpenSSL sugiere que actualicen a una versión compatible.
Rastreado como CVE-2022-0778El equipo de OpenSSL afirmó que aún no ha encontrado ninguna forma de explotación de este error. Pero la agencia nacional de ciberseguridad de Italia, CSIRT dicho de otra maneraque el El equipo de OpenSSL lo rechazó luego.