Anche questo mese Microsoft ha lavorato pesantemente per correggere i problemi in tutti i suoi territori, da Azure alle soluzioni on-premise: si contano quasi 40 differenti campi di azioni su cui si è visto l’intervento della casa di Redmond. 

Il risultato è il rilascio di correzioni per problemi di sicurezza (oltre alla correzione di errori funzionali) per ben 62 CVE includenti anche vulnerabilità 0-day già viste sfruttate in natura. 

Di queste CVE, ben 9 risultano di livello critico (per il 14.5%) e 53 di livello alto (per l’85.5%). 

In particolare le tecniche maggiormente sfruttabili per via delle vulnerabilità individuate sono l’Elevazione del privilegio (EoP – Elevation of Privilege) per il 41.9% del totale, seguita dall’Esecuzione di codice Remoto (RCE – Remote Code Execution) per il 24.2% del totale. Non potevano mancare, anche se in misura nettamente minore, tecniche si Denial of Service (DoS – per il 6% del totale), Spoofing (per il 3% del totale) ed evasione di meccanismi si sicurezza (Security Features Bypass, per il 4% del totale). 

Con questa patch dobbiamo finalmente sottolineare l’attenzione e risoluzione a problemi di sicurezza mancanti nella patch del mese precedente, ossia la correzione per le CVE-2022-41040 e CVE-2022-41082 (ProxyNotShell) di cui avevamo già parlato. 

Una grave vulnerabilità affligge i sistemi del vendor di sicurezza: è stata Già sfruttata in natura e quindi ben studiata, tanto che sono già liberamente disponibili vettori di attacco che vanno oltre il PoC. Ciò pone l’accento sull’urgenza si porre rimedio a tale vulnerabilità, la CVE-2022-40684, che consente di aggirare il sistema di autenticazione dell’interfaccia amministrativa Web nei dispositivi che eseguano FortiOS, FortiProxy e FortiSwitchManager. Tale procedura di infrazione consente all’attaccante di ottenere l’accesso come amministratore sui sistemi colpiti. In particolare le versioni colpite sono: per i prodotti FortiOS, 7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.2.0, 7.2.1; per i prodotti FortiProxy, 7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.2.0; per i prodotti FortiSwitchManager, 7.0.0 e 7.2.0. Consentendo l’accesso amministrativo, tale vulnerabilità porta all’attaccante la facoltà di creare nuovi utenti nel sistema compromesso, ruotare il traffico verso destinazioni a lui gradite, catturare il traffico di rete e dunque ottenere dati sensibili, scaricare l’intera configurazione del sistema (per studiarla in seguito).

Una settimana prima dal rilascio della nuova versione 3.0.7 del progetto OpenSSL (pubblicata il 1° novembre), il team aveva preavvisato dell’arrivo di una correzione ad una vulnerabilità critica. Al dunque si è scoperto che esistono correttivi “soltanto” per due vulnerabilità di gravità alta: la CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) e la CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”), entrambe capaci di rendere possibile un attacco BOF (Buffer Overflow) ed il conseguente DoS (Denial of Service). Le vulnerabilità affliggono tutte le versioni di OpenSSL dalla versione 3.0 in avanti, quindi tutte le versioni in giro da almeno settembre del 2021. Allo stato non si hanno notizie di PoC o avvistamenti in natura di attacchi rispetto a queste vulnerabilità, pertanto è difficile capire le motivazioni per una comunicazione così allarmistica prima di un naturale rilascio di un insieme di correttivi ad un software. La spiegazione la fornisce direttamente il progetto OpenSSL che indica la CVE-2022-3602 responsabile della valutazione allarmistica iniziale: questa infatti è una vulnerabilità che causa un overflow arbitrario del buffer dello stack di 4 byte e inizialmente sembrava poter portare all'esecuzione di codice da remoto (RCE).

Una nuova vulnerabilità è emersa nel software sviluppato dalla fondazione; anche in questo caso la violazione è di tipo RCE ed è stata per questo battezzata in modo simile alla precedente (log4shell) con riferimento alla libreria ora responsabile del trasporto di tale problema: dunque text4shell in riferimento al pacchetto Apache Commons Text. 

La vulnerabilità è critica, con un punteggio CVSS 9.8, ed è stata classificata come CVE-2022-42889. Si riferisce a versioni dei pacchetti di Apache Commons Text dalla versione 1.5 alla versione 1.9. 

Il difetto consente ad un attore di minaccia di sfruttare il processo di espansione dinamica delle proprietà di cui Apache Commons Text è capace per innescare l’esecuzione di codice non previsto o il contatto con server remoti (al minimo) non attendibili (per non dire di peggio). 

Ancora una volta dunque (come fu per Log4J con Log4Shell) colpevoli della debolezza software riscontrata sono la capacità di espansione dinamica dei parametri. Con espressioni come “${prefix:name}”, dove prefix indica l’istanza capace di eseguire la sostituzione dinamica, anche pacchetto Apache Commons Text consente così di ottenere differenti manipolazioni dinamiche del testo.