Een proof-of-concept (PoC) code die een nieuw onthulde kwetsbaarheid voor het omzeilen van digitale handtekeningen in Java aantoont, is online gedeeld.
De zeer ernstige fout in kwestie, CVE-2022-21449 (CVSS-score: 7,5), heeft invloed op de volgende versie van Java SE en Oracle GraalVM Enterprise Edition –
- Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
Het probleem ligt in Java’s implementatie van het Elliptic Curve Digital Signature Algorithm (ECDSA), a cryptografisch mechanisme: tot digitaal ondertekenen berichten en gegevens voor het verifiëren van de authenticiteit en de integriteit van de inhoud.
In een notendop, de cryptografische blunder – in Java Psychic Signatures genoemd – maakt het mogelijk om een volledig blanco handtekening te presenteren, die nog steeds als geldig zou worden beschouwd door de kwetsbare implementatie.
Succesvol misbruik van de fout kan een aanvaller in staat stellen handtekeningen te vervalsen en authenticatiemaatregelen te omzeilen.
De PoC, gepubliceerd door veiligheidsonderzoeker Khaled Nassar houdt in een kwetsbare client en een kwaadaardige TLS-server, waarvan de eerste een ongeldige handtekening van de server accepteert, waardoor de TLS-handdruk ongehinderd door kunnen gaan.
“Het is moeilijk om de ernst van deze bug te overschatten,” ForgeRock-onderzoeker Neil Madden, die de fout op 11 november 2021 ontdekte en rapporteerde, zei.
“Als u ECDSA-handtekeningen gebruikt voor een van deze beveiligingsmechanismen, kan een aanvaller deze triviaal en volledig omzeilen als uw server een Java 15-, 16-, 17- of 18-versie gebruikt.”
Het probleem is sindsdien door Oracle aangepakt als onderdeel van de driemaandelijkse Critical Patch Update (CPU) van april 2022. vrijgelaten op 19 april 2022.
In het licht van de release van de PoC wordt organisaties die Java 15, Java 16, Java 17 of Java 18 in hun omgevingen gebruiken aanbevolen om prioriteit te geven aan de patches om actieve exploitatie te verminderen.
