漏洞概述

1、基本描述

2022年11月1日，OpenSSL官方披露了2个存在于OpenSSL中的缓冲区溢出漏洞，其中CVE-2022-3602较为严重，该漏洞源于在 X.509 证书验证过程中（特别是在名称约束检查中）会触发缓冲区溢出，可能导致拒绝服务或远程代码执行。缓冲区溢出发生在证书链签名验证之后，需要CA签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址利用可控的四个字节来溢出邻近缓冲区。目前该漏洞POC（概念验证代码）已公开，随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。OpenSSL是OpenSSL团队一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。该漏洞的综合评级为“高危”。

2、漏洞影响

以下产品及版本受到影响：3.0.0<=OpenSSL<3.0.7

3、原理分析

Punycode是一个根据 RFC 3492 标准而制定的编码系统，主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode 由26个字母和10个阿拉伯数字以及符号“ – ”组成。中文构成的域名不被标准的解析服务器支持，需转化为Punycode码进行解析。

该漏洞存在于提供Punycode域名解码功能的函数ossl_Punycode_decode中。计算机将IDNA域转换为Punycode域，例如将“百度.中国”转码为：xn--wxTr44c.xn--fiqs8S，其中xn-指定一个Punycode域。在OpenSSL中，ossl_Punycode_decode接受一个Punycode域的字符串缓冲区(删除了xn)，并将其转换为Unicode进行额外处理。

当客户机或服务器配置为验证X.509证书时，将调用此函数。攻击者可以通过在电子邮件地址字段中创建一个包含Punycode解码为513字节的恶意证书来溢出具有512字节的缓冲区实现OpenSSL服务崩溃导致拒绝服务。

4、漏洞复现

环境准备

Vagrant环境搭建（内置镜像均为通过源码方式进行编译安装的OpenSSL组件）：

· 一个包含带有恶意证书的OpenSSL服务器的Linux Ubuntu虚拟机

· 带有易受攻击的OpenSSL客户端的Windows虚拟机

1）启动 vagrant

vagrant up

2）启动对窗口虚拟机的RDP访问

vagrant rdp windows

3）使用任何RDP客户端连接到 Windows VM，使用凭据vagrant / vagrant

4）打开窗口命令行并导航到 PoC 目录

cd C:\Users\vagrant\Documents\WindowsCrash\

5）连接到恶意服务器

openssl.exe s_client -connect 192.168.56.3:3000

这将导致 openssl.exe 在验证恶意证书时崩溃，可以在事件查看器中查看有关崩溃的详细信息。

漏洞验证

将准备好的exp程序（openssl.exe）通过命令openssl.exp s_client -connect [ip] [port]连接到恶意服务器进行攻击，验证结果如下图：

使用EXP对目标执行攻击，确认漏洞存在，并能够造成OpenSSL崩溃。

5、修复建议

官方已经针对漏洞发布了软件更新，下载地址如下：

https://github.com/openssl/openssl/tags

网御星云解决方案

建议一：网御星云漏洞扫描系统V6.0升级新版本

网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000468，升级包下载地址：

https://leadsec.download.venuscloud.cn/

图1 升级后已支持该漏洞

请使用网御星云漏洞扫描系统V6.0产品的用户尽快升级到新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

建议二：网御星云资产与脆弱性管控平台(ASM)排查受影响资产

网御星云资产与脆弱性管控平台实时采集并更新情报信息，对入库资产漏洞OpenSSL缓冲区溢出漏洞（CVE-2022-3786,CVE-2022-3602）进行管理，如图2所示：

图2  情报管理模块已入库的OpenSSL缓冲区溢出漏洞

网御星云资产与脆弱性管控平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞，可第一时间命中受该漏洞影响的资产，如图3所示：

图3  情报命中的资产信息

建议三：基于网御星云betway88w彩票游戏平台进行关联分析

用户可以通过网御星云betway88w彩票游戏平台进行关联策略配置，结合实际环境中系统日志和安全设备的告警信息进行持续监控，从而发现“OpenSSL缓冲区溢出”的漏洞利用攻击行为。

1.在平台中，通过脆弱性发现功能针对“OpenSSL缓冲区溢出漏洞（CVE-2022-3602）”执行漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产；

2.平台“关联分析”模块中，添加“L2_OpenSSL_缓冲区溢出_漏洞利用”，通过网御星云检测设备、目标主机系统等设备的告警日志，发现外部攻击行为；

通过分析规则自动将OpenSSL缓冲区溢出利用的可疑行为源地址添加到观察列表“高风险连接”中，作为内部情报数据使用；

3.添加“L3_OpenSSL_缓冲区溢出_漏洞利用成功”，条件日志名称等于“L2_OpenSSL_缓冲区溢出_漏洞利用”，攻击结果等于“攻击成功”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

建议四：ATT&CK攻击链条分析与SOAR处置建议

1. ATT&CK攻击链分析

根据对OpenSSL中缓冲区溢出漏洞的攻击利用过程进行分析，攻击链涉及多个ATT&CK战术和betway88w彩票游戏阶段，覆盖的TTP包括：

凭据访问TA0006：窃取或伪造身份验证证书 T1649

权限提升TA0004：劫持执行流程T1574

影响TA0040：端点拒绝服务T1499

2.处置方案建议和SOAR剧本编排

通过网御星云betway88w彩票游戏平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置。

北冥数据实验室

北冥数据实验室成立于2022年3月，是致力于网络空间安全知识工程研究和体系化建设的专业团队，由网御星云漏洞研究团队、泰合知识工程团队、实验室（BDlab）场景化分析团队联合组成。

北冥数据实验室秉持以需求为导向、知识赋能产品的核心理念，专注于提供网络空间安全的基础知识研究和开发，制定结合威胁和漏洞情报、网络空间资产和监测数据等综合情报以及用户实际场景的安全分析防护策略，构建自动化调查和处置响应措施，形成场景化、结构化的知识工程体系，对各类安全产品、平台和提供知识赋能。