Národní úřad pro kybernetickou a informační bezpečnost

Do gesce Národního úřadu pro kybernetickou a informační bezpečnost patří také organizace a příprava kybernetických cvičení. Cvičení hrají nezastupitelnou roli při zajišťování kybernetické bezpečnosti České republiky. Umožňují věrně simulovat rozličné typy krizových situací a slouží jak technickému publiku, tak pracovníkům na nejvyšší úrovni s rozhodovacími pravomocemi. Při jejich tvorbě a provedení je zásadní úzká kooperace s dalšími partnery v rámci tzv. whole-of-government přístupu. Vedle edukativního prvku cvičení pomáhají budovat důvěru a utužovat vzájemné vztahy.

Hrozby

Upozorňujeme na zranitelnosti knihovny OpenSSL ve verzi 3

V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.

Obě zranitelnosti byly způsobeny chybnou konverzí e-mailové adresy nacházející se v X.509 certifikátech a týkají se využití knihovny jak na straně serveru, tak na straně klienta. Potenciální útočník tak může pomocí speciálně vytvořeného certifikátu způsobit pád aplikace, a tím odepření služby, ve specifických situacích i vzdálené spuštění kódu.

Původně vývojáři oznámili, že závažnost těchto zranitelností bude označena jako kritická. Díky moderním mitigačním technikám použitým v nových operačních systémech je ale zneužití těchto zranitelností ke vzdálenému spuštění kódu obtížné až nemožné. Zranitelnost byla do kódu začleněna až ve verzi 3.0.0 vydané v roce 2021, a proto se dá předpokládat, že je využívána primárně na operačních systémech, u kterých jsou tyto mitigační techniky aktivní.

Doporučujeme systémy a aplikace využívající tuto knihovnu aktualizovat co nejdříve. Proof of Concept (PoC) zneužití těchto zranitelností k pádu aplikace jsou již veřejně dostupné.

Seznam vybraných systémů obsahující OpenSSL 3

Red Hat Enterprise Linux verze 9 a jeho deriváty (Oracle Linux 9, Rocky Linux 9, AlmaLinux 9) CentOS 9 Stream Ubuntu 22.04 a vyšší Fedora 36 Kontejnery založené na těchto operačních systémech VMware ESXi 8.0 VMware Photon OS 4 Aplikace využívající Node.js v18.x nebo v19.x

Ověření nainstalované verze na operačním systému Linux je možné pomocí příkazu ‘openssl version’.

Knihovna taktéž může být přímou součástí různých aplikací pro různé systémy. Seznam zranitelných aplikací a systémů je možné nalézt na https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software

Další informace:

https://www.openssl.org/news/secadv/20221101.txt https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/ Celá zpráva 02.11.2022