Новая сигнатура СОВ UserGate детектирует атаки, связанные с переполнением буфера в OpenSSL

Центр мониторинга и реагирования UserGate добавил в "Систему обнаружения вторжений" (СОВ) UserGate две новые сигнатуры, позволяющие детектировать атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786.

Данная уязвимость заключается в переполнении буфера в tls полях id-ce-subjectAltName и id-ce-nameConstraints при использовании кодировки Punycode, что потенциально может привести к удаленному выполнению кода. Злоумышленник может выполнить tls запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера.

В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена уязвимость-побратим (CVE-2022-3786), а их рейтинг был снижен до HIGH.

Продукты компании UserGate не подвержены данной уязвимости.

Затронутые версии OpenSSL:

• OpenSSL – версии с 3.0.0 по 3.0.6.

Затронутые продукты:

• Ubuntu 22.04 "Kinetic Kudu" и "Jammie";
• Debian 12 "Bookword";
• CentOS;
• Fedora Linux 36/37;
• Linux Mint 21 Vanessa;
• Kali 2022.3;
• OpenSUSE;
• Oracle Linux;
• Red Hat Universal Base Images;
• SUSE Enterprise Linux Server.

Специалисты Центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

• убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее;
• проверить актуальность подписки на модуль Security Updates;
• добавить в блокирующее правило IDPS сигнатуры "Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow" и "Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow".

За дополнительной справочной информацией и консультациями обращайтесь к специалистам Центра мониторинга и реагирования UserGate: mrc@usergate.com.