【已复现】OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)安全风险通告

原创 QAX CERT 奇安信 CERT 2022-07-08 12:49

奇安信CERT

致力于
第一时间
为企业级用户提供安全风险
通告
和
有效
解决方案。

安全通告

近日，奇安信CERT监测到OpenSSL 官方发布OpenSSL RSA 私钥操作中的堆
内存损坏通告(CVE-2022-2274)，OpenSSL 3.0.4 版本在X86_64 的 RSA 实现中引入了一个严重的错误，运行在支持 AVX512IFMA 扩展指令的X86_64 架构的机器上的SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器会受到影响。攻击者利用此漏洞可能会在目标系统上执行任意代码。

奇安信CERT已复现此漏洞，经研判，此漏洞仅影响 OpenSSL 3.0.4 版本，并且只有支持 AVX512IFMA 扩展指令的系统才会受影响。OpenSSL 1.1.1/1.0.2系列版本不受此漏洞影响，这意味着常规Linux发行版例如 CentOS、Debain、Ubuntu 在安装系统原生软件包时不会受到影响。此漏洞影响范围有限，用户不必惊慌。
建议客户尽快进行排查，若受影响请尽快修复。

---

漏洞名称	OpenSSL RSA远程代码执行漏洞
公开时间	2022-07-05	更新时间	2022-07-05
CVE编号	CVE-2022-2274	其他编号	QVD-2022-10299
威胁类型	代码执行	技术类型	堆缓冲区溢出
厂商	OpenSSL	产品	OpenSSL
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	未知	未知	未知
漏洞描述	OpenSSL RSA存在远程代码执行漏洞，远程攻击者可通过发送特制请求到运行在支持 AVX512IFMA 扩展指令的X86_64 架构的机器上的SSL/TLS 服务器或其他使用 2048 位 RSA 私钥的服务器，从而触发堆缓冲区溢出漏洞，可能允许攻击者在目标机器上执行任意代码。
影响版本	OpenSSL 3.0.4
不受影响版本	OpenSSL 1.1.1 OpenSSL 1.0.2 3.0.0 <= OpenSSL < 3.0.4 OpenSSL 3.0.5
其他受影响组件	无

目前，奇安信CERT已成功复现OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)，截图如下：

威胁评估

漏洞名称	OpenSSL RSA远程代码执行漏洞
CVE编号	CVE-2022-2274	其他编号		QVD-2022-10299
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	不需要		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	攻击者利用此漏洞可在目标系统上执行任意代码或导致目标SSL、TLS 等服务器拒绝服务。

处置建议

1.版本检测

通过 
openssl version

命令查看 OpenSSL 版本，确认不是 OpenSSL 3.0.4：

通过
cat /proc/cpuinfo | grep avx512ifma
命令确认系统不支持 AVX512IFMA 扩展指令，如果输出中没有 “avx512ifma” 则代表系统不支持AVX512IFMA 扩展指令，下图是支持的例子：

如果版本为OpenSSL 3.0.4，且系统支持AVX512IFMA 扩展指令，则受此漏洞影响。用户可升级至 3.0.5 版本。

2.版本升级

受影响的用户可升级至OpenSSL 3.0.5 最新版本:

https://github.com/openssl/openssl/releases/tag/openssl-3.0.5

3.缓解方案

受影响的用户若无法进行版本升级，可采用以下缓解措施缓解此漏洞：

对正在运行的程序进行停止，并加入额外的环境变量后重启。

export OPENSSL_ia32cap=:~0x200000

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20220708. 1121版本已支持对OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)的检测。

参考资料

[1]https://www.openssl.org/news/secadv/20220705.txt

时间线

2022年7月8日，奇安信 CERT发布安全风险通告。

点击阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情