Investigador publica PoC para reciente vulnerabilidad criptográfica de Java

Iniciado por AXCESS, Abril 23, 2022, 06:05:40 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 23, 2022, 06:05:40 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha compartido en línea un código de prueba de concepto (PoC) que demuestra una vulnerabilidad de omisión de firma digital recientemente revelada en Java.

La falla de alta gravedad en cuestión, CVE-2022-21449 (puntaje CVSS: 7.5) , afecta las siguientes versiones de Java SE y Oracle GraalVM Enterprise Edition:

     Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
     Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2

El problema reside en la implementación de Java del algoritmo de firma digital de curva elíptica (ECDSA), un mecanismo criptográfico para firmar digitalmente mensajes y datos para verificar la autenticidad y la integridad de los contenidos.

En pocas palabras, el error criptográfico, denominado Psychic Signatures en Java, hace posible presentar una firma totalmente en blanco, que aún sería percibida como válida por la implementación vulnerable.

La explotación exitosa de la falla podría permitir a un atacante falsificar firmas y eludir las medidas de autenticación implementadas.

El PoC, publicado por el investigador de seguridad Khaled Nassar**, involucra a un cliente vulnerable y un servidor TLS malicioso, el primero de los cuales acepta una firma no válida del servidor, lo que permite que el protocolo de enlace TLS continúe sin obstáculos.

"Es difícil exagerar la gravedad de este error", dijo el investigador de ForgeRock, Neil Madden, quien descubrió e informó sobre la falla el 11 de noviembre de 2021.

"Si está utilizando firmas ECDSA para cualquiera de estos mecanismos de seguridad, entonces un atacante puede pasarlos por alto de manera trivial y completa si su servidor ejecuta cualquier versión de Java 15, 16, 17 o 18".

Desde entonces, Oracle ha abordado el problema como parte de su actualización de parche crítico (CPU) trimestral de abril de 2022 lanzada el 19 de abril de 2022.

A la luz del lanzamiento de la PoC, se recomienda a las organizaciones que utilizan Java 15, Java 16, Java 17 o Java 18 en sus entornos que prioricen los parches para mitigar los intentos de explotación activa.

**Prueba de Concepto (PoC) de Khaled Nassar
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario