OpenSSL, една от най-широко използваните криптографски библиотеки за осигуряване на сигурна комуникация в интернет, бе засегната от нова уязвимост, която позволява на зловредни клиенти да блокират значителна част от сървърната памет чрез изпращане на много кратки TLS заявки. Този проблем, наречен HollowByte, бе открит и докладван от екипа за сигурност на Okta, но поправката беше внедрена тихо през юни, без да бъде придружена от официален CVE номер или подробна информация.
Какво представлява уязвимостта HollowByte?
Уязвимостта се проявява при обработката на TLS заявки с дължина от едва 11 байта. Когато такъв пакет бъде получен от сървър, използващ уязвима версия на OpenSSL, библиотеката резервира до 131 KB памет за съобщение, което никога не се завършва и не се освобождава. Това означава, че с всяка такава кратка заявка се заделя значително количество памет, която остава блокирана до рестарт на процеса, което може да доведе до изчерпване на ресурсите и отказ на услугата (DoS).
Тестовете на Okta са проведени върху системи с glibc, където ефектът от уязвимостта е особено осезаем – паметта остава заета и не се освобождава по време на работа на процеса. Това прави атаката ефективна срещу сървъри, които обработват множество такива кратки TLS заявки, като потенциално може да доведе до срив или сериозно забавяне на услугите.
Защо това е важно?
OpenSSL е ключова библиотека, използвана от милиони сървъри и приложения по целия свят за осигуряване на криптирана комуникация. Уязвимост, която позволява лесно изчерпване на паметта, може да бъде използвана за атаки с отказ на услуга, което засяга както доставчиците на услуги, така и крайните потребители.
Особено тревожно е, че поправката на проблема е направена без официално съобщение, CVE номер или публична документация. Това затруднява администраторите и специалистите по сигурност да разберат значението на промяната и да предприемат необходимите действия за обновяване и защита на системите си.
По-широк контекст на сигурността в OpenSSL
OpenSSL е обект на множество уязвимости през годините, като най-известната от тях е Heartbleed, която разкри сериозни проблеми в начина, по който библиотеката обработва паметта. Въпреки значителните усилия за подобряване на сигурността, нови проблеми продължават да се появяват, което подчертава сложността и критичността на поддръжката на такъв ключов софтуер.
Текущата ситуация с HollowByte показва необходимостта от по-голяма прозрачност и по-добра комуникация между разработчиците на OpenSSL и общността на потребителите и администраторите. Без ясна информация за уязвимостите и техните поправки, рискът от експлоатация остава висок.
Какво може да последва?
Администраторите на сървъри и доставчиците на услуги трябва да проверят дали използват версии на OpenSSL, които съдържат тази уязвимост, и да приложат наличните ъпдейти възможно най-скоро. Важно е също така да се следят официалните канали за сигурност на OpenSSL за бъдещи съобщения и обновления.
От своя страна, OpenSSL проектът може да подобри процеса на уведомяване и документиране на поправките, за да гарантира, че критичните уязвимости се адресират по прозрачен и навременен начин. Това ще повиши доверието в библиотеката и ще намали риска от успешни атаки.
В дългосрочен план, случаят с HollowByte подчертава необходимостта от постоянен мониторинг и анализ на сигурността на инфраструктурните компоненти, които стоят в основата на интернет комуникациите, както и от инвестиции в разработването на по-устойчиви и надеждни решения.