Krytyczne podatności w OpenSSL mogą zagrozić setkom tysięcy użytkowników!
- Analitycy bezpieczeństwa potwierdzili dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi)
- Na razie wpływ nowej luki wydaje się ograniczony do ewentualnej „odmowy usługi” (denial of service), czyli zawieszenia programów, jednak eksperci zaznaczają, że inne, jeszcze niezidentyfikowane platformy, mogą okazać się bardziej narażone na ryzyko.
- Więcej informacji: https://blog.checkpoint.com/2022/11/01/openssl-vulnerability-cve-2022-3602-remote-code-execution-and-cve-2022-3786-denial-of-service-check-point-research-update/
Eksperci bezpieczeństwa cybernetycznego ostrzegają przed dwoma krytycznymi lukami w Open SLL, czyli powszechnie wykorzystywanej bibliotece kodów, służącej bezpiecznej komunikacji w Internecie! Pierwsza z nich umożliwia wykonanie złośliwego kodu (RCE) na komputerze ofiary, natomiast druga na przeprowadzenie ataku typu DDoS, dokonywanego w celu uniemożliwienia dostępu do usług online – informują eksperci Check Point Software.
W zeszłym tygodniu byliśmy świadkami nietypowych kroków twórców OpenSSL, którzy poinformowali zbliżającej się „krytycznej” luce, będącej prawdopodobnie pierwszym tak dużym problemem od czasu niesławnej podatności Heartbleed (CVE-2014-0160) osiem lat temu. Analitycy bezpieczeństwa potwierdzili ostatecznie dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi).
Na razie wpływ nowej luki wydaje się ograniczony do ewentualnej „odmowy usługi” (denial of service), czyli zawieszenia programów, jednak eksperci zaznaczają, że inne, jeszcze niezidentyfikowane platformy, mogą okazać się bardziej narażone na ryzyko.
Nic nie wskazuje na to, że którakolwiek z podatności została wykorzystana, ale mimo to warto przeprowadzać audyt systemów pod kątem potencjalnego narażenia na podatne na ataki wersje OpenSSL 3.0.xi, a także aktualizować wszelkie oprogramowania. – Użytkownicy obsługujący serwery TLS mogą rozważyć wyłączenie uwierzytelniania klienta TLS jako obejście bez instalowania poprawek – dodają eksperci Check Pointa.
Od SolarWinds, przez Log4j, do podatności OpenSSL, obserwujemy wykładniczy wzrost częstotliwości i złożoności cyberataków na całym świecie. OpenSSL to branżowa podstawa zabezpieczania Internetu, umożliwiająca bezpieczną komunikację w poczcie e-mail, witrynach internetowych i aplikacjach internetowych, co czyni to zagrożenie szczególnie niebezpiecznym – czytamy w komunikacie Check Pointa.
– Luka umożliwia zdalne wykonanie kodu, co stwarza wysokie ryzyko dla każdego produktu zaszyfrowanego SSL. Nasza firma dostarczy wirtualną łatkę, aby dać zapewnić klientom odpowiedni czas na aktualizację ich bibliotek OpenSSL. Użytkownicy powinni być chronieni do czasu, gdy będą dostępne dalsze aktualizacje — mówi Lotem Finkelsteen, dyrektor ds. analizy zagrożeń i badań w Check Point Software.
Eksperci sugerują, że nadszedł czas, aby branża technologiczna zaktualizowała wszystkie wrażliwe produkty za pomocą opublikowanej poprawki, aby ich klienci nie musieli się martwić o cyberprzestępców, którzy pracują nad wykorzystaniem informacji zebranych na temat luk. Nie jest to jednak łatwe zadanie, więc niektórym dostawcom zajmie to więcej czasu.
Warto podkreślić, że luki zostały wykryte w wersjach od 3.0.0 do 3.0.6 i załatane w najnowszej wersji 3.0.7. Obie aktualizacje dotyczą tylko OpenSSL 3.0.x, czyli linii wydań, która zadebiutowała w 2021 roku, co jest kolejnym czynnikiem ograniczającym zakres całego problemu.