Hai lỗ hổng định danh CVE-2022-3602 có điểm CVSS 9,8 và CVE-2022-3786 có điểm CVSS 7,5 ảnh hưởng đến OpenSSL phiên bản 3.0.0 trở lên. Hai lỗ hổng này đã được xử lý trong phiên bản OpenSSL 3.0.7. Đáng chú ý, mã khai thác cho lỗ hổng CVE-2022-3602 đã được công bố.
CVE-2022-3602 là lỗ hổng tràn bộ đệm ngăn xếp 4 byte tùy ý có thể gây sự cố hoặc dẫn đến thực thi mã từ xa. Còn lỗ hổng CVE-2022-3786 có thể bị kẻ tấn công khai thác thông qua địa chỉ email độc hại để kích hoạt tấn công từ chối dịch vụ.
OpenSSL cho biết: "Chúng tôi đánh giá đây là những lỗ hổng nghiêm trọng và người dùng được khuyến cáo nâng cấp lên phiên bản mới càng sớm càng tốt".
Bên cạnh đó, hãng cũng cung cấp các biện pháp giảm thiểu tạm thời và yêu cầu quản trị viên vận hành máy chủ TLS vô hiệu hóa xác thực TLS client.
Một số chuyên gia bảo mật và nhà cung cấp cho rằng lỗ hổng OpenSSL tương tự với Log4Shell (Apache Log4J), nhưng chỉ có khoảng 7.000 hệ thống được mở ra ngoài Internet đang chạy các phiên bản OpenSSL tồn tại lỗ hổng. Trong khi đó, Shodan thống kê khoảng 16.000 server sử dụng OpenSSL có thể truy cập công khai.
Hãng bảo mật cloud Wiz.io (Mỹ) cũng cho biết chỉ 1,5% trong số tất cả các phiên bản OpenSSL bị ảnh hưởng bởi lỗ hổng này sau khi phân tích việc triển khai trên các môi trường cloud phổ biến.