Центр мониторинга и реагирования на киберугрозы UserGate добавил в «Систему обнаружения вторжений» (СОВ) две новые сигнатуры, которые детектируют атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786 в библиотеке OpenSSL. Проблема заключается в переполнении буфера, вызванном ошибкой в реализации punycode, которая потенциально может привести к удаленному выполнению кода.

Злоумышленник может выполнить TLS-запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера. В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена похожая уязвимость (CVE-2022-3786), а их рейтинг был снижен до HIGH.

Фото: Unsplash/Carlos Nunez

Уязвимость затронула версии OpenSSL с 3.0.0 по 3.0.6, которые используются, в частности, в Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing и Unstable, а также других дистрибутивах. Более ранние выпуски OpenSSL 1.1.1, а заодно и деривативы в лице LibreSSL и BoringSSL, такой проблемы не имеют (punycode есть только в >OpenSSL 3.0.x).

Специалисты UserGate рекомендуют пользователям убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее. Кроме того рекомендуется проверить актуальность подписки на модуль Security Updates и добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».

Сбер начал переводить свои сайты, рабочие ресурсы и системы на сертификаты, выпущенные Удостоверяющим центром Минцифры. Данное решение обеспечит независимость банка от зарубежных удостоверяющих центров, говорят в компании. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг.

Сертификаты выдаются бесплатно. Как отметил министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, выпуск российских сертификатов безопасности включен Правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления. Первые шаги в этом направлении были сделаны ещё пять лет назад.

Напомним, что в марте 2022 года Минцифры организовало работу собственного центра сертификации, чтобы решить накопившиеся проблемы с доступом к разным сайтам, которые могут возникать в случае истечения срока годности сертификатов безопасности и невозможности их своевременно обновить из-за западных санкций. Впрочем, TLS-сертификаты повсеместно используются для организации защищённого канала связи, и не только веб-сайтов.

Изображение: pixabay.com / geralt

Как правило, центры сертификации располагаются в странах, поддержавших антироссийские санкции, и не могут принимать платежи за свои услуги. Из-за этого различные веб-ресурсы не могут продлить TLS-сертификаты. После истечения срока их действия браузеры будут блокировать доступ к таким сайтам. Частично смягчить эту ситуацию смогут сертификаты, выдаваемые местным центром.

Эта мера вряд ли сможет полностью решить проблему, поскольку сертификат Минцифры на данный момент не признан ни одним глобальным удостоверяющим центром. Это означает, что в популярных браузерах, таких как Chrome или Firefox, он будет блокироваться. Пользователям этих браузеров потребуется вручную добавлять отечественный сертификат, чтобы подписанные им сайты открывались без проблем. В отечественных обозревателях, таких как «Яндекс.Браузер» и «Атом», сертификат Минцифры работать будет без ограничений.

Центр сертификации Let's Encrypt сообщил, что выпустил миллиардный сертификат 27 февраля 2020 года. Рост их количества свидетельствует не только об увеличении числа веб-сайтов, но и о повышении безопасности. Если в июне 2017 года около 58 % страниц использовали HTTPS по всему миру (из них 64 % в США). На сегодня эта доля выросла до 81 % (91 % в США).

Также сообщается, что сертификатами Let's Encrypt пользовались в 2017 году 46 млн сайтов. Сейчас же речь идёт о 192 млн сайтов.

thedevopsguide.com

В организации сообщили, что столь крупные достижения реализованы за счёт протокола ACME, который обеспечивает высокий уровень автоматизации и обеспечивает ведение лога всех транзакций.

Кроме того, разработчики запустили систему множественной проверки доменов. Она призвана проверять домены и возможность контроля над ними со стороны владельцев. Это нужно для того, чтобы сертификат не попал к злоумышленникам. Обычно процесс проверки включает в себя просьбу к кандидату разместить определенный файл или маркер в контролируемом месте для домена, например, в определенном пути или DNS записи. После этого проверяется его наличие.

Однако если в процессе проверки удавалось перехватить или перенаправить сетевой трафик, то можно было обманом заставить центр сертификации выдать нужный сертификат хакерам. Новая технология препятствует этому, поскольку проверка осуществляется не с одной, а с нескольких точек, что усложняет перехват. Для этого используется облачная система.