Categorie
News Sicurezza

OpenSSL, scoperte nuove vulnerabilità

A circa due mesi dal “trambusto” provocato dal grave bug  Heartbleed, torniamo a parlare di OpenSSL e di alcune vulnerabilità scoperte di recente.

A seguito dell’individuazione della pericolosa falla da parte di un researcher Google ed una compagnia di sicurezza indipendente, la Codenomicon, è iniziato infatti un lungo procedimento di analisi e revisione  del protocollo OpenSSL – secondo le stime utilizzato dal 66% dei siti internet in quanto standard di cifratura predefinito per Apache e Nginx – che, alla luce dei due nuovi bug riscontrati, sta dando evidentemente buoni risultati.

OpenSSL tra nuovi bug e periodici aggiornamenti di sicurezza

Heartbleed, una “lezione” utile per i provider e i clientiPer quanto riguarda la prima vulnerabilità, secondo quanto dichiarato dal ricercatore che è riuscito a scoprirla Masahi Kikuchi, della compagnia di software giapponese Lepidum, il bug sarebbe presente fin dalla prima release di OpenSSL; mediante l’utilizzo di un processo di handshacking (procedimento automatico che permette al server e al client di autenticarsi a vicenda) accuratamente “fabbricato”da un hacker, sarebbe possibile forzare l’utilizzo di standard di cifratura non particolarmente efficaci. Ciò permetterebbe al MITM (Man in the Middle, per via dell’intrusione che si svolge “nel bel mezzo” della comunicazione tra client e server) di turno di modificare a piacimento il traffico tra le due parti.

La seconda vulnerabilità riguarda invece il Datagram Transport Layer Security (DTLS) e il modo in cui vengono gestiti i pacchetti: sempre mediante l’invio di un singolo pacchetto udp “fabbricato” ad hoc, un malintenzionato sarebbe in grado di mandare in crash l’applicazione avviando un attacco DDoS;  oppure inserire determinate righe di “malicious code” da eseguire, successivamente, grazie ai privilegi del processo in esecuzione (DTLS).

L’importante lavoro dei ricercatori ha contribuito, nelle scorse settimane, al rilascio di diversi aggiornamenti alla sicurezza per OpenSSL. In ogni caso, anche alla luce delle ultime due falle rilevate, resta ancora molto lavoro da svolgere per le equipe dei security team e non solo. L’unico strategia efficace attuabile al momento resta anche quella più semplice e scontata, aggiornare prontamente OpenSSL all’ultima release disponibile.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.