Mardi 25 octobre 2022, l’équipe d’OpenSSL annonce pour la semaine suivante une mise à jour de sécurité de niveau critique sur la dernière version 3 de leur toolkit.
Le jour de la publication, on apprend que le niveau de sécurité est abaissé au niveau élevé. Fallait-il autant s’inquiéter ?

Pourquoi cette mise à jour concerne tout le monde

OpenSSL est une boîte à outils (toolkit) disponible sur pratiquement tous les systèmes d’exploitation. Il est entre autres utilisé pour sécuriser les échanges entre réseaux informatiques par le protocole Transport Layer Security (TLS). Un exemple qui doit vous parler est celui de la connexion HTTPS, qui passe par ce protocole. Même votre machine utilise à un moment donné OpenSSL pour échanger en réseau. Autant vous dire que l’impact d’une vulnérabilité se qualifie au niveau mondial.

Pourquoi cette mise à jour concerne finalement peu de monde

La subtilité vient du fait que cette mise à jour ne concerne que la version 3.0.x et non la version 1.x.x qui est encore utilisée sur beaucoup de systèmes.

Le nombre de serveurs qui n’ont pas encore effectué la migration vers la version 3.0.x est immense. Pour rappel, la version 1.x.x sera maintenu jusqu’à septembre 2023, date à laquelle les mises à jour de sécurité cesseront.

Par exemple, les développeurs qui utilisent NodeJs verront que celui-ci utilise soit OpenSSL 1.1.1 pour la version 16.x ou inférieur, tandis que c’est OpenSSL 3.0.7 pour les versions 17.x ou supérieures.

Enfin, la gravité de la vulnérabilité dépend du système d’exploitation. En effet, si la vulnérabilité avait été annoncée comme critique, elle fut déclassée suite à des audits venant de plusieurs organisations prouvant que le souci le plus grave ne concerne pas tous les systèmes.

Vulnérabilité de type RCE et DoS

Remote Code Execution (RCE) ou Arbitrary Code Execution correspond à la plus grande hantise des équipes de sécurité d’une organisation. L’origine du problème provient de l’exploitation d’un buffer overflow, dépassement de tampons, pouvant potentiellement conduire au RCE. Sinon, à au moins un Denial Of Service (DoS) c’est-à-dire bloquer le serveur au point qu’il ne puisse plus répondre à une requête.

Un article de blogue accompagné d’un live twitch fait le tour de cette vulnérabilité démontre à quel point prévoir ce problème avant la release paraissait compliqué. Suggérant qu’il était inévitable de se retrouver dans cette situation où l’on se rend compte du problème après coup. Il ne s’agit donc ni d’un amateurisme, ni d’un manque de couverture de test.

Mise à jour du 22/11/2022: un autre article intéressant pointant également ce point.

L’équipe de sécurité de Datadog s’est emparée du sujet afin de sortir une preuve de concept de l’exploitation de la vulnérabilité. À travers un billet de blogue, ils affirment que l’attaque semble possible sous un environnement Windows, mais très compliqué voir impossible sur un environnement Linux. Certains experts parlent d’une possibilité trop compliquée à atteindre. D’autres estiment que sur une échelle de 1 à 10, cette vulnérabilité vaut moins que zéro. Il faudrait que les étoiles soient alignées, dont un attaquant ayant des connaissances avancées. Surtout que le pire correspondrait à un déni de service, à moins d’être sur un environnement Windows.

Pour savoir si un système/logiciel est vulnérable, une liste est disponible sur GitHub.

Beaucoup de bruit pour rien?

La panique vient de la rareté du niveau critique précédemment annoncé. D’autant que la précédente fut réellement catastrophique. Finalement, vous voyez que les experts s’accordent à dire que le souci apparaît moins grave que prévu. Pour autant, comme toute vulnérabilité, il ne faut pas sous-estimer la situation et mettre à jour sa version OpenSSL dès que possible. Le plus dangereux se situe dans ce qu’on appelle la Vulnerability Chaining, c’est-à-dire la succession de plusieurs exploitations de vulnérabilité afin d’atteindre un plus grand objectif. Toute bonne équipe de sécurité se doit de colmater toutes les brèches.

L’avantage de cette sur-médiatisation sera de forcer beaucoup d’organisations à se mettre à jour. Une opération qui devrait être une routine régulière.

En conclusion, ne paniquez pas, l’exploitation de la vulnérabilité semble pratiquement nulle même avec des connaissances avancées, pour peu de résultats. Ne sous-estimez pas non plus la situation et faites une mise à jour régulier de vos outils.