content top

Vulnerabilidade criptográfica no java

Postado por em abr 26, 2022 em BÁSICO, DIVERSOS, NOTÍCIAS, NOVIDADES | Comments Comentários desativados em Vulnerabilidade criptográfica no java
Vulnerabilidade criptográfica no java

Pesquisador lança PoC recente sobre vulnerabilidade criptográfica Java

 

Um código de prova de conceito (PoC) demonstrando uma vulnerabilidade de desvio de assinatura digital recém-divulgada em Java foi compartilhado online.

 

A falha de alta gravidade em questão, CVE-2022-21449 (pontuação CVSS: 7,5), afeta as seguintes versões do Java SE e Oracle GraalVM Enterprise Edition:

 

  • Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
  • Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
 
 

O problema reside na implementação do Java Elliptic Curve Digital Signature Algorithm ( ECDSA ), um mecanismo criptográfico para assinar digitalmente mensagens e dados para verificar a autenticidade e a integridade do conteúdo.

 

Em poucas palavras, o erro criptográfico apelidado de Psychic Signatures em Java, torna possível apresentar uma assinatura totalmente em branco, que ainda seria percebida como válida pela implementação vulnerável.

 

 

A exploração bem-sucedida da falha pode permitir que um invasor forje assinaturas e ignore as medidas de autenticação implementadas.

 

O PoC, publicado pelo pesquisador de segurança Khaled Nassar, envolve um cliente vulnerável e um servidor TLS malicioso, o primeiro dos quais aceita uma assinatura inválida do servidor, permitindo efetivamente que o handshake TLS continue desimpedido.

 

“É difícil exagerar a gravidade desse bug”, disse o pesquisador da ForgeRock, Neil Madden, que descobriu e relatou a falha em 11 de novembro de 2021 .

 

“Se você estiver usando assinaturas ECDSA para qualquer um desses mecanismos de segurança, um invasor poderá contorná-los trivial e completamente se o seu servidor estiver executando qualquer versão do Java 15, 16, 17 ou 18.”

 

Desde então, o problema foi resolvido pela Oracle como parte de sua atualização de patch crítica (CPU) trimestral de abril de 2022 lançada em 19 de abril de 2022.

 

À luz do lançamento do PoC, recomenda-se que as organizações que usam Java 15, Java 16, Java 17 ou Java 18 em seus ambientes priorizem os patches para mitigar as tentativas de exploração ativas.

 

Este artigo é uma tradução de: https://thehackernews.com/2022/04/researcher-releases-poc-for-recent-java.html (Autor: Ravie Lakshmanan)

 

content top