⚡ Não perca: notícia importante no ar! ⚡

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade chamada HollowByte permite que invasores não autenticados acionem uma condição de negação de serviço (DoS) em servidores OpenSSL com uma carga maliciosa de apenas 11 bytes.

A equipe OpenSSL corrigiu silenciosamente a vulnerabilidade (nenhum identificador atribuído) e transferiu o patch para versões mais antigas.

Como o software OpenSSL é a espinha dorsal fundamental para a comunicação segura na Internet, as organizações devem priorizar a mudança para uma versão fixa da biblioteca.



Detalhes de HollowByte

Em um comunicado no início desta semana, o Red Team da Okta descreveu como funciona a vulnerabilidade HollowByte DoS e seu impacto em um cenário do mundo real.

Os pesquisadores explicam que em um handshake TLS, cada mensagem possui um cabeçalho de 4 bytes para declarar o tamanho da mensagem recebida. No entanto, versões vulneráveis ​​do OpenSSL alocam o comprimento declarado antes de receber a carga útil e verificar seu tamanho.

Cada mensagem de handshake TLS começa com um cabeçalho de handshake de 4 bytes, onde um campo de comprimento de três bytes revela o tamanho dos dados de handshake que devem seguir.

Sem validar a carga útil, o servidor confia nas declarações do pacote e aloca a memória indicada. “O thread de trabalho então é bloqueado, aguardando indefinidamente por dados que nunca chegarão”, explica Okta.

Um invasor não autenticado pode acionar o HollowByte abrindo uma conexão TLS e enviando uma entrada maliciosa de 11 bytes com um cabeçalho declarando que um corpo de mensagem muito maior será seguido.

O invasor repete o mesmo processo em diversas conexões, fazendo com que o servidor aloque quantidades consideráveis ​​de memória por meio de um volume relativamente pequeno de dados transmitidos.

Os pesquisadores da Okta observam que, embora o OpenSSL libere os buffers quando uma conexão cai, a Biblioteca GNU C (glibc) tem uma maneira diferente de lidar com a memória e "não retorna imediatamente alocações pequenas a médias ao sistema operacional; ela as mantém para possível reutilização".

“Ao lançar ondas de conexões com tamanhos declarados aleatórios, um invasor impede que o alocador reutilize esses pedaços liberados”, diz Okta.

"A pilha se fragmenta fortemente, fazendo com que o tamanho do conjunto residente (RSS) do servidor aumente continuamente. Mesmo depois que o invasor se desconecta, o servidor permanece permanentemente inchado."

A única maneira de recuperar totalmente o espaço é reiniciando o processo.

Impacto e correções

A biblioteca OpenSSL de código aberto está incorporada em projetos de software populares, como servidores web NGINX e Apache, tempos de execução de linguagem (por exemplo, Node.js, Python, Ruby, PHP) e bancos de dados (MySQL, PostgreSQL). Ele vem pré-instalado na maioria das distribuições Linux para criptografia TLS e manipulação de certificados.

Os testes da Okta no NGINX mostraram que a memória de ambientes de baixa capacidade pode ser facilmente esgotada usando HollowByte, enquanto servidores de especificações mais altas podem perder até 25% de sua memória enquanto a largura de banda do ataque permanece abaixo dos limites de alerta de segurança.

Embora as falhas DoS sejam consideradas menos graves do que as vulnerabilidades que permitem o roubo de dados ou a execução de códigos, elas podem causar interrupções operacionais e danos à reputação.

O problema do HollowByte DoS foi corrigido no OpenSSL 4.0.1 e retroportado para as versões 3.6.3, 3.5.7, 3.4.6 e 3.0.21, que agora aumentam o buffer apenas quando os dados chegam, ignorando as reivindicações do cabeçalho.

Apesar de ser abordado como uma “correção de reforço” e não como uma vulnerabilidade de segurança, Okta recomenda “atualizar os pacotes OpenSSL da sua distribuição imediatamente”.









Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o white paper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #a #falha #hollowbyte #ddos #sobrecarrega #a #memória #do #servidor #openssl #com #carga #útil #de #11 #bytes
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment