Una delle librerie crittografiche più utilizzate in assoluto è OpenSSL, un’implementazione open source dei protocolli SSL e TLS. Essa viene largamente utilizzata sui server Linux e viene ad esempio adoperata per gestire i certificati digitali e le connessioni HTTPS.
Nel 2014 fu scoperto il bug chiamato Heartbleed: esso permetteva ai criminali informatici di sfruttare una grave lacuna di sicurezza di OpenSSL per accedere a tutti i dati criptati inviati dall’utente.
Non siamo certamente a quei livelli ma in questi giorni è stata confermata la scoperta di una vulnerabilità in OpenSSL che può essere sfruttata da parte di malintenzionati per lanciare attacchi DoS (Denial of Service).
In questo caso il problema risiede in un bug nella funzione BN_mod_sqrt()
: un aggressore può fornire a OpenSSL un certificato digitale modificato ad arte per sfruttare la falla di sicurezza e causare un loop infinito il quale manderà in blocco l’applicazione che sfrutta la libreria.
Lo stesso risultato è ottenibile inducendo OpenSSL all’elaborazione di chiavi private anch’esse strutturate con l’obiettivo di lanciare l’attacco DoS.
L’autore della scoperta è Tavis Ormandy (Google) che ha informato i gestori del progetto OpenSSL lo scorso 24 febbraio. Come ha spiegato lo stesso ricercatore, sebbene la falla non porti all’esecuzione di codice nocivo o alla sottrazione di dati riservati, è comunque un problema che può avere conseguenze disastrose sulla disponibilità e sulla corretta raggiungibilità di un ampio spettro di servizi.
La problematica di sicurezza potrebbe essere sfruttata in tutte quelle situazioni in cui sistemi client e server si servono di OpenSSL per verificare i rispettivi certificati, quando fornitori di hosting accettano certificati e chiavi private inviati dagli utenti, quando le autorità di certificazione analizzano le richieste avanzate dai richiedenti oltre che in altre situazioni più specifiche.
La vulnerabilità, alla quale è stato assegnato l’identificativo CVE-2022-0778, è presente nelle versioni di OpenSSL 1.0.2-1.0.2zc, 1.1.1-1.1.1n e 3.0-3.0.1. Gli amministratori IT sono invitati ad aggiornare immediatamente installando le patch che nel frattempo sono state rilasciate.
Al momento la vulnerabilità individuata in OpenSSL non risulta essere sfruttata per condurre attacchi, neppure aggressioni mirate. È comunque bene procedere tempestivamente con l’aggiornamento dei propri sistemi.