Clicky

Error de 'bucle infinito' en OpenSSL podría permitir que los atacantes bloqueen los servidores remotos

bucle infinito en OpenSSL

El problema surge del análisis de un certificado mal formado

Los mantenedores de OpenSSL enviaron parches para resolver una falla de seguridad de alta gravedad en su biblioteca de software que podría conducir a una condición de denegación de servicio (DoS) al analizar certificados.

Registrado como CVE-2022-0778 (puntuación CVSS: 7,5), el problema surge del análisis de un certificado mal formado con parámetros de curva elíptica explícitos no válidos, lo que da como resultado lo que se denomina un "bucle infinito". La falla reside en una función llamada BN_mod_sqrt() que se usa para calcular la raíz cuadrada modular.

"Dado que el análisis de certificados ocurre antes de la verificación de la firma del certificado, cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegación de servicio", dijo OpenSSL en un aviso publicado el 15 de marzo de 2022.

"El bucle infinito también se puede alcanzar al analizar claves privadas diseñadas, ya que pueden contener parámetros explícitos de curva elíptica".

Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, hay algunos escenarios en los que podría convertirse en un arma, incluso cuando los clientes (o servidores) TLS acceden a un certificado no autorizado desde un servidor (o cliente) malicioso, o cuando las autoridades de certificación analizan las solicitudes de certificación de los suscriptores.

La vulnerabilidad afecta las versiones de OpenSSL 1.0.2, 1.1.1 y 3.0, los propietarios del proyecto abordaron la falla con el lanzamiento de las versiones 1.0.2zd (para clientes de soporte premium), 1.1.1n y 3.0.2. OpenSSL 1.1.0, aunque también se ve afectado, no recibirá una solución ya que ha llegado al final de su vida útil.

Acreditado por informar la falla el 24 de febrero de 2022, está el investigador de seguridad de Google Project Zero, Tavis Ormandy. La solución fue desarrollada por David Benjamin de Google y Tomáš Mráz de OpenSSL.

CVE-2022-0778 es también la segunda vulnerabilidad de OpenSSL resuelta desde principios de año. El 28 de enero de 2022, los mantenedores corrigieron una falla de gravedad moderada (CVE-2021-4160, puntaje CVSS: 5.9) que afectaba el procedimiento de cuadratura MIPS32 y MIPS64 de la biblioteca.

Jesus_Caceres