Cyberthreat.id – Proyek OpenSSL telah menambal dua kelemahan keamanan tingkat tinggi di perpustakaan kriptografi sumber terbuka yang digunakan untuk mengenkripsi saluran komunikasi dan koneksi HTTPS.

Kerentanan (CVE-2022-3602 dan CVE-2022-3786) mempengaruhi OpenSSL versi 3.0.0 dan yang lebih baru dan telah diatasi di OpenSSL 3.0.7.

CVE-2022-3602 adalah stack buffer overflow 4-byte sewenang-wenang yang dapat memicu crash atau menyebabkan eksekusi kode jarak jauh (RCE), sementara CVE-2022-3786 dapat dieksploitasi oleh penyerang melalui alamat email berbahaya untuk memicu status penolakan layanan melalui buffer overflow.

"Kami masih menganggap masalah ini sebagai kerentanan serius dan pengguna yang terpengaruh didorong untuk meningkatkan versi sesegera mungkin," kata tim OpenSSL dilansir Bleeping Computer, Rabu (2/11).

Perusahaan mengaku tidak mengetahui adanya eksploitasi kerja yang dapat menyebabkan eksekusi kode jarak jauh, dan perusahaan tidak memiliki bukti masalah ini dieksploitasi pada saat rilis posting ini.

Sesuai dengan kebijakan Open SSL, organisasi dan admin TI telah diperingatkan sejak 25 Oktober untuk mencari lingkungan mereka untuk instance yang rentan dan mempersiapkan mereka untuk ditambal saat OpenSSL 3.0.7 dirilis.

"Jika Anda tahu sebelumnya di mana Anda menggunakan OpenSSL 3.0+ dan bagaimana Anda menggunakannya, maka ketika saran datang, Anda akan dapat dengan cepat menentukan apakah atau bagaimana Anda terpengaruh dan apa yang perlu Anda tambal," kata Mark Cox, salah satu pendiri OpenSSL dan Wakil Presiden Keamanan Red Hat.

OpenSSL juga menyediakan langkah-langkah mitigasi yang mengharuskan admin yang mengoperasikan server TLS untuk menonaktifkan otentikasi klien TLS hingga patch diterapkan.

Sementara peringatan awal mendorong admin untuk mengambil tindakan segera untuk mengurangi cacat, dampak sebenarnya jauh lebih terbatas mengingat CVE-2022-3602 (awalnya dinilai kritis) telah diturunkan ke tingkat keparahan tinggi dan hanya berdampak pada OpenSSL 3.0 dan instance yang lebih baru. .

Versi yang baru dirilis ini juga belum banyak digunakan untuk perangkat lunak yang digunakan dalam produksi dibandingkan dengan versi perpustakaan OpenSSL sebelumnya.

Selain itu, meskipun beberapa pakar keamanan dan vendor telah menyamakan penemuan kerentanan ini dengan kelemahan Log4Shell di pustaka logging Apache Log4J, hanya sekitar 7.000 sistem yang terpapar Internet yang menjalankan versi OpenSSL yang rentan dari total lebih dari 1.793.000 host unik yang ditemukan oleh Censys online — Shodan mencantumkan sekitar 16.000 instance OpenSSL yang dapat diakses publik.

Perusahaan keamanan cloud Wiz.io juga mengatakan bahwa hanya 1,5% dari semua instans OpenSSL yang ditemukan terpengaruh oleh kelemahan keamanan ini setelah menganalisis penerapan di seluruh lingkungan cloud utama (yaitu, AWS, GCP, Azure, OCI, dan Alibaba Cloud).

Pusat Keamanan Siber Nasional Belanda mempertahankan daftar produk perangkat lunak yang dipastikan (tidak) terpengaruh oleh kerentanan OpenSSL ini.

Versi OpenSSL terbaru disertakan dalam rilis terbaru dari beberapa distribusi Linux populer, dengan Redhat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12, dan Fedora 36 ditandai sebagai rentan oleh perusahaan keamanan siber Akamai.

Akamai juga telah membagikan aturan OSQuery dan YARA untuk membantu tim keamanan menemukan aset yang rentan dan mengantrekannya untuk ditambal setelah pembaruan keamanan dirilis.