OpenSSL opnieuw getroffen door ernstige beveiligingslek
Opnieuw is een ernstige kwetsbaarheid opgedoken in OpenSSL. Aanvallers kunnen via een man-in-the-middle-aanval netwerkverkeer onderscheppen. De aanval is echter alleen mogelijk als het slachtoffer OpenSSL gebruikt.
Het probleem wordt beschreven in een securitybulletin van OpenSSL. Een aanvaller zou in staat zij het gebruik van zwakke versleuteling af te dwingen in OpenSSL. Deze zwakke versleuteling kan vervolgens door de cybercrimineel worden gekraakt, waarna het netwerkverkeer kan worden afgeluisterd en gemanipuleerd.
Kwetsbare client en server nodig
Om de aanval uit te voeren is het noodzakelijk dat zowel de client (de gebruiker) als de server gebruik maakt van een kwetsbare variant van OpenSSL. Alle versies van de OpenSSL-client zijn kwetsbaar. De kwetsbaarheid is in de servervariant alleen aanwezig in OpenSSL 1.0.1 en 1.0.2-beta1. Desondanks adviseert OpenSSL in de security advisory gebruikers die een verouderde versie van OpenSSL gebruiken preventief te upgraden naar de nieuwste versie.
Verschillende webbrowsers zoals de desktop-varianten van Chrome, Safari en Firefox maken gebruiken van een andere SSL-/ TLS-library dan OpenSSL. Gebruikers van deze webbrowsers maken dus geen gebruik van OpenSSL, waardoor zij niet kwetsbaar zijn voor een dergelijke aanval. De Android-variant van Chrome maakt echter wel gebruik van OpenSSL, waardoor gebruikers van deze webbrowser wel degelijk kwetsbaar kunnen zijn.
Al langer bekend
De bug is overigens al op 1 mei 2014 ontdekt. Het team achter OpenSSL geeft echter nu pas ruchtbaarheid aan het probleem, aangezien inmiddels een patch beschikbaar is die het lek dicht.
Het is niet de eerste keer dat OpenSSL door een ernstige kwetsbaarheid wordt getroffen. Twee maanden geleden kwam de Heartbleed-bug aan het licht, een ernstige kwetsbaarheid waar een enorme hoeveelheid websites door getroffen is. Aanvallers konden met behulp van de Heartbleed-bug delen van het intern geheugen van een server uitlezen indien deze gebruik maakt van OpenSSL. Hierdoor konden zij allerlei gevoelige gegevens in handen krijgen, waaronder privé encryptiesleutels en onversleutelde wachtwoorden.
Meer over
Lees ook
ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security
ESET heeft een nieuw partnerschap en integratie aangekondigd, dankzij zijn uniforme API-gateway. Deze ontwikkeling faciliteert naadloze verbindingen met verschillende leveranciers van cybersecurity, zoals de recente integratie met Elastic, een search-powered AI-bedrijf.
Denk aan een sterk wachtwoord op World Password Day 2024
Wachtwoorden zijn een van de eerste kritieke barrières tussen een persoon, een dreigingsactor en een succesvolle cyberaanval. Een veelvoorkomende fout die mensen maken is het gebruik van steeds dezelfde loginnaam of hetzelfde e-mailadres en wachtwoord
'Mensen moeten een wachtzin gebruiken als ze veilig willen inloggen'
Op de eerste donderdag van mei is het Wereld Wachtwoorden Dag. Deze dag is bedoeld om betere wachtwoorden te stimuleren. Cyberaanvallen zijn aan de orde van de dag. En dus is goede wachtwoordbeveiliging cruciaal.