Overslaan en naar de inhoud gaan

Klok tikt voor OpenSSL-misbruik

Vandaag 1 november is de geplande releasedag voor een patch om een kritieke kwetsbaarheid in OpenSSL te verhelpen. Het is de tweede keer in de geschiedenis van die veelgebruikte library voor versleutelde datacommunicatie; de vorige kritieke securitypatch is in 2016 uitgebracht. De update die vandaag verschijnt, is vorige week alvast aangekondigd, zodat organisaties de tijd hebben om uit te zoeken in welke systemen in hun IT-omgevingen ze welke versie van OpenSSL gebruiken.
Datalek, hack
© CC0/Pixabay License
CC0/Pixabay License

Het gat zit namelijk niet in alle versies.

De waarschuwing van vorige week vermeldt dat het gaat om versie 3.0, waarin een kwetsbaarheid zit die de hoogste inschaling toegekend heeft gekregen. Dit is de classificatie 'kritiek' voor de ernst, wat betekent dat algemene configuraties worden geraakt en dat misbruik daarvan waarschijnlijk is. Verdere details over de aard van het te dichten beveiligingsgat zijn niet gegeven. Wel heeft het OpenSSL-ontwikkelteam aangegeven dat de patch, versie 3.0.7, op 1 november tussen 14:00 en 18:00 uur (Nederlandse tijd) uitkomt.

Na een dag ingetrokken

De nieuwe versie neemt het over van de 3.0.6 release die op 11 oktober dit jaar is uitgekomen. Een dag later is die versie, samen met OpenSSL 1.1.1r, echter weer ingetrokken. "Nieuwe releases worden te zijner tijd gecreëerd", was toen de summiere mededeling van de ontwikkelaars. Beide releases brachten bug fixes, terwijl 3.0.6 ook security fixes bevatte. De voor vandaag geplande 3.0.7-release brengt dus een oplossing voor een kritieke kwetsbaarheid.

Volgend op de aankondiging daarvan zijn diverse leveranciers en organisaties met eigen informatiebulletins en waarschuwingen gekomen. Daaronder ook het NCSC (Nationaal Cyber Security Centrum) van de Nederlandse overheid, dat een aparte GitHub-pagina heeft ingericht om de aanwezigheid van OpenSSL-versies in andere ICT-producten in kaart te brengen. "De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem", meldt het NCSC daarbij.

À la Log4j?

Een soortgelijke kwestie van versieverschillen en een kritieke kwetsbaarheid is eind vorig jaar opgetreden bij de veelgebruikte Java-tool Log4j. Het NCSC heeft daarvoor toen een overzichtspagina opgezet om wereldwijd beheerders te helpen en waarvoor het veel lof heeft geoogst. Het bleek namelijk dat het kwetsbare Log4j verwerkt zat in vele verschillende producten van diverse leveranciers.

OpenSSL kent waarschijnlijk een nog veel grotere mate van gebruik, al dan niet indirect en onbewust door organisaties. Het NCSC stelt: "OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen." Het dringende advies is dan ook om in kaart te brengen welke software binnen organisaties gebruik maakt van OpenSSL. "Bereid uw organisatie voor om relevante software direct te patchen zodra updates beschikbaar zijn."

Datalekkage, sleutelmisbruik, RCE

Terwijl het OpenSSL-team vooraf geen details vrijgeeft, duidt de inschaling op 'kritiek' wel op zorgwekkende misbruikmogelijkheden. In het algemeen geldt voor die categorie dat er gevaar kan zijn voor bijvoorbeeld datalekkage uit het servergeheugen, waarbij wellicht gebruikersgegevens zijn buit te maken. Een ander mogelijk gevaar is dat aanvallers op afstand privésleutels voor encryptie bij servers kunnen misbruiken. Tot slot is er de mogelijkheid dat kwaadaardige code op afstand uitgevoerd kan worden (remote code execution, RCE) op systemen waar dan een kwetsbare OpenSSL-installatie draait. Deze voorbeelden zijn niet per se - of niet allemaal - van toepassing op OpenSSL 3.0, maar misschien wel.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in