برای آسیبپذیری موجود در OpenSSL که بهتازگی وصله شده بود و میتوان از آن برای انجام حملات منع سرویس بهرهبرداری کرد، یک بهرهبرداری اثبات مفهومی منتشر شده است.
OpenSSL نسخههای ۱٫۱٫۱٫d، ۱٫۱٫۱e و ۱٫۱٫۱f تحت تأثیر یک آسیبپذیری با شدت بالایی قرار گرفته است که بهعنوان segmentation fault در تابع SSL-check-chain توصیف میشود. این آسیبپذیری با شناسهی CVE-2020-1967 ردیابی میشود و در ۲۱ آوریل با انتشار OpenSSL 1.1.1g وصله شده بود.
این حفرهی امنیتی با استفاده از یک تحلیلگر کد ایستا به نام GNU Compiler Collection (GCC) کشف شده بود.
یکی از پژوهشگران نیز یک بهرهبرداری اثبات مفهومی برای این آسیبپذیری را به همراه توضیحاتی دربارهی فرآیند بهرهبرداری منتشر کرد.
وی بیان کرد که بهرهبرداری از این آسیبپذیری بسیار آسان است، تنها باید بار دادهی مخرب به سرور آسیبپذیر ارسال شود که این کار با استفاده از ابزار openssl s_client موجود در صفحهی گیتهاب انجام میشود.
طرف قربانی بسیار پیچیدهتر است، این برنامه تنها در صورت استفاده از نسخهی آسیبدیدهی کتابخانه و فراخوانی تابع API عمومی SSL-check-chain() آسیبپذیر است. این فراخوانی معمول نیست و اکثر سرورهای TLS این تابع را فراخوانی نمیکنند. اما سرورهایی که این کار را انجام میدهند، شدت آسیبپذیری برای آنها بسیار زیاد است.
سرورهای آسیبدیده پس از دریافت بار داده، بسته به اینکه آیا یک واحد نظارتی بر فرآیند نظارت میکند یا خیر، دچار خرابی میشوند و ممکن است بهطور موقت یا دائمی از کار بیفتد. همچنین لازم به ذکر است که خدماتی که از TLS دوطرفه برای احراز هویت استفاده میکنند، محافظت نمیشوند و کد آسیبپذیر در فرآیند handshaking در TLS 1.3 وجود دارد.
همچنین بهگفتهی این پژوهشگران این آسیبپذیری از طریق یک حملهی مرد میانی و یا با راهاندازی یک سرور TLSمخرب و یافتن یک کلاینت آسیبپذیر برای اتصال به آن، قابل بهرهبرداری است.
آسیبپذیری CVE-2020-1967 اولین آسیبپذیری بود که در سال ۲۰۲۰ میلادی در OpenSSl وصله شد. طبق گزارشها امنیت OpenSSL از زمان افشای آسیبپذیری Heartbleed در سال ۲۰۱۴ میلادی تکامل یافته است. بااینکه از زمان افشای آسیبپذیری Heartbleed تا پایان سال ۲۰۱۶ میلادی، دهها آسیبپذیری بحرانی و با شدت بالا در OpenSSL کشف شد، در سال ۲۰۱۷ میلادی تنها یک آسیبپذیری با شدت بالا شناسایی شد و در سال ۲۰۱۸ و ۲۰۱۹ میلادی همهی آسیبپذیریهای وصلهشده با شدت پایین یا متوسط بودند.