Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Grave vulnerabilità in OpenSSL: aggiorna subito per evitare attacchi MITM se usi RPK!

Redazione RHC : 12 Febbraio 2025 07:38

OpenSSL ha emesso un avviso di sicurezza invitando gli utenti ad effettuare immediatamente l’aggiornamento per mitigare il rischio critico di una vulnerabilità di sicurezza di elevata gravità. Si tratta del ( CVE-2024-12797 ) in OpenSSL, una delle librerie crittografiche più utilizzate. Il bug di sicurezza consente agli aggressori di sfruttare una falla negli handshake TLS e DTLS, consentendo potenzialmente attacchi man-in-the-middle (MITM) su connessioni vulnerabili.

La vulnerabilità riguarda le versioni 3.4, 3.3 e 3.2 di OpenSSL. Le versioni precedenti (3.1, 3.0, 1.1.1 e 1.0.2) e i moduli FIPS di OpenSSL non sono interessati.

Il problema risiede nella gestione delle chiavi pubbliche (RPK) RFC7250, un meccanismo opzionale nelle connessioni TLS/DTLS. Quando un client abilita l’uso di RPK per l’autenticazione di un server, potrebbe non riuscire a terminare l’handshake se la chiave pubblica del server non corrisponde ai valori previsti, nonostante sia impostata la modalità di verifica SSL_VERIFY_PEER. Questa omissione espone la connessione all’intercettazione da parte di un malintenzionato.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Gli RPK sono disabilitati per impostazione predefinita nelle implementazioni OpenSSL, ma se abilitati esplicitamente sia nella configurazione client che in quella server, potrebbe consentire agli aggressori di impersonare il server. Sfruttando questa falla, è possibile intercettare, leggere o modificare la comunicazione tra un client e un server.

    OpenSSL ha rilasciato delle patch per risolvere il problema. Si consiglia agli utenti di aggiornare immediatamente le proprie librerie OpenSSL alle seguenti versioni:

    • Utenti OpenSSL 3.4 : Aggiornamento a  OpenSSL 3.4.1
    • Utenti OpenSSL 3.3 : Aggiornamento a  OpenSSL 3.3.2
    • Utenti OpenSSL 3.2 : Aggiornamento a  OpenSSL 3.2.4

    Le correzioni sono state effettuate a una segnalazione di Apple Inc. di dicembre 2024. Gli amministratori di sistema e gli sviluppatori che utilizzano OpenSSL dovrebbero rivedere le loro implementazioni per determinare se gli RPK sono abilitati esplicitamente. In tal caso, l’aggiornamento alle versioni patchate è fondamentale per mitigare i potenziali rischi per la sicurezza.

    Per coloro che non utilizzano attivamente gli RPK, la vulnerabilità non rappresenta una minaccia immediata, poiché gli RPK sono disabilitati di default. OpenSSL consiglia agli utenti di monitorare regolarmente la propria pagina di avviso di sicurezza per eventuali aggiornamenti aggiuntivi o dettagli tecnici.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Dentro le Reti Wireless IEEE 802.11: Architettura e Segnale Wi-Fi

    Le reti wireless IEEE 802.11, meglio note come Wi-Fi, sono il cuore pulsante della connettività moderna. Da soluzione di nicchia per uso domestico a pilastro tecnologico per l’Internet del...

    X va Offline per un Attacco DDoS di Dark Storm. Elon Musk: “Gruppo Numeroso e Coordinato”

    X, la piattaforma di social media precedentemente nota come Twitter, nella giornata di oggi è rimasta offline per diverso tempo. Secondo Downdetector.com, X ha riscontrato per la prima volta...

    Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

    Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

    Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

    Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...