کارشناسان امنیتی میگویند که شرکت اوراکل توانسته تا یک آسیبپذیری را در فریمورک جاوا اصلاح کنند که خطرات بسیار بالایی را برای کاربران بههمراه داشت.
این آسیبپذیری که با نام CVE-2022-21449 به ثبت رسیده، در الگوریتم امضای دیجیتالی منحنی بیضوی یا همان ECDSA این شرکت برای نسخه 15 جاوا و جدیدتر از آن یافت شده است. این آسیبپذیری به هکرها و افراد سودجو این امکان را میدهد تا گواهینامهها و امضاهای TSL، کدهای احراز هویت دو مرحلهای، اعتبارنامههای مجوز و موارد مشابه را جعل کنند.
همانطور که برای اولین بار توسط رسانه ArsTechnica توضیح داده شد، ECDSA الگوریتمی است که این توانایی را دارد تا بهصورتی دیجیتالی صحیح و سالم بودن پیامها را تایید کند. همانطور که این الگوریتم کلیدها را تولید میکند، اغلب در استانداردهایی مانند احراز هویت دومرحلهای FIDO و Security Assertion Markup Language و OpenID و JSON استفاده میشود.
این آسیبپذیری اولین بار توسط یکی از محققین موسسه ForgeRock، یعنی نیل مدن، کشف شد که این آسیبپذیری را با کارتهای شناسایی خالی سریال علمی تخیلی Doctor Who مقایسه کرد. در این سریال گفته شده، هر شخصی که به کارت شناسایی افراد نگاهی میندازد، با وجود آنکه کارت گفته شده کاملا خالی است، اما هر چیزی را که دارند آن کارت میخواهد در درون آن کارت مشاهده میکند.
مدن در ادامه این موضوع توضیح داد که بهنظر میرسد که برخی از نسخههای اخیر جاوا نسبتبه ترفند و آسیبپذیری مشابهی در اجرای امضاهای پرکاربرد ECDSA آسیبپذیر بودهاند.
اگر در حال حاضر روی سیستم خود یکی از این نسخههایی را اجرا میکنید که در برابر آسیبپذیری مورد نظر ضعف دارد، هکرها و افراد سودجو میتوانند که بهراحتی برخی از انواع گواهینامههای SSL و برقراری ارتباط متقابل که اجازه رهگیری و اصلاح ارتباطات را میدهد، JWTهای امضا شده، ادعاهای SAML و توکنهای شناسایی OIDC و حتی پیامهای احراز هویت WebAuthn را جعل کند.
این آسیبپذیری در حال حاضر توانسته تا امتیاز 7.5 از 10 را کسب کند، اما مدن کاملا با این ارزیابی انجام شده مخالف است و آن را بههیچ عنوان درست نمیداند. او در مورد این موضوع گفته شده ادامه داد:
سخت است که از شدت و قدرت این آسیبپذیری اغراق کنیم. اگر از امضاهای ECDSA برای هر یک از مکانیزمهای امنیتی مربوط به سیستم خود استفاده میکنید، اگر سرور شما از نسخه قبل از بهروزرسانی پچ امنیتی مخصوص پردازنده اصلی ماه آوریل سال 2022 استفاده میکند و اگر روی سیستم خود هنوز نسخههای 15، 16، 17 یا 18 جاوا را دارید، باید سریعتر دستبهکار شوید، چرا که مهاجمان میتوانند بدون هیچ محافظتی از سد دفاعی سیستم شما عبور کنند. برای آنکه بیشتر با این موضوع آشنا شوید، باید بگوییم که تمامی دستگاههای مبتنیبر WebAuthn و FIDO در دنیای واقعی، از امضای ECDSA و بسیاری از ارائهدهندگان OIDC از JWTهای امضا شده با استفاده از ECDSA استفاده میکنند.
براساس اطلاعاتی که در حال حاضر از این آسیبپذیری در اختیار داریم، نسخههای 15 و جدیدتر جاوا تحت تاثیر این موضوع قرار میگیرند، اگرچه که اوراکل نسخههای 7، 8 و 11 را نیز بهعنوان نسخههایی که تحت تاثیر این آسیبپذیری قرار خواهند گرفت، لیست کرده است. با این حال، شرکت اوراکل از همه مشتریان خود خواسته است تا دستگاههای خود را به جدیدترین نسخه بهروزرسانی کنند.