Kritisk OpenSSL-sårbarhet oppdaget
Check Point oppfordrer organisasjoner til å oppdatere sine systemer asap.
– Fra Solarwinds til Log4j og nå OpenSSL-sårbarheten, sees nå en eksponentiell økning i hastigheten og sofistikerte nettangrep globalt. OpenSSL er bransjens grunnlag for sikring av internett – slik at kommunikasjon på tvers av e-post, nettsteder og nettapper kan være sikker – noe som gjør denne trusselen spesielt farlig, sier Pål Aaserudseter i Check Point Norge.
Ble kjent forrige uke
I en offisiell uttalelse forrige tirsdag kunngjorde OpenSSL-prosjektteamet den kommende utgivelsen av deres neste versjon, som vil bli utgitt tirsdag 1. november. Denne versjonen var forventet å inneholde en rettelse for et kritisk sikkerhetsproblem. I ettertid er trusselen senket fra kritisk til høy.
Selv om det ikke er like lett å utnytte seg av sårbarheten som de først trodde, er ikke dette bra, og omfanget omfattende. For mange vil det ta tid å få implementert en fix, og sårbarheten vil garantert bli utnyttet når hackerne har fått laget et «kit» og distribuert/solgt det.
– Denne sårbarheten er i stand til ekstern kjøring av kode, og utgjør en høyrisiko for ethvert SSL-kryptert produkt. Vi kan kalle dette et sikkerhetskappløp. Brukere bør beskyttes inntil ytterligere oppdateringer er tilgjengelige, fortsetter Aaserudseter.
Ny sårbarhet
Etter at den nyeste versjonen fra Openssl-teamet kom, er det funnet to nye kritiske sårbarheter i OpenSSL. Disse sårbarhetene kan spores som CVE-2022-3602 (ekstern kjøring av kode) og CVE-2022-3786 (Denial of Service). Disse to sårbarhetene påvirker OpenSSL versjoner 3.0.0 - 3.0.6 og er korrigert i den nyeste versjonen av versjon 3.0.7.
Du kan se listen over sårbar og ikke-sårbar programvare på denne github-siden.
