OpenSSL opnieuw getroffen door ernstige beveiligingslek
Opnieuw is een ernstige kwetsbaarheid opgedoken in OpenSSL. Aanvallers kunnen via een man-in-the-middle-aanval netwerkverkeer onderscheppen. De aanval is echter alleen mogelijk als het slachtoffer OpenSSL gebruikt.
Het probleem wordt beschreven in een securitybulletin van OpenSSL. Een aanvaller zou in staat zij het gebruik van zwakke versleuteling af te dwingen in OpenSSL. Deze zwakke versleuteling kan vervolgens door de cybercrimineel worden gekraakt, waarna het netwerkverkeer kan worden afgeluisterd en gemanipuleerd.
Kwetsbare client en server nodig
Om de aanval uit te voeren is het noodzakelijk dat zowel de client (de gebruiker) als de server gebruik maakt van een kwetsbare variant van OpenSSL. Alle versies van de OpenSSL-client zijn kwetsbaar. De kwetsbaarheid is in de servervariant alleen aanwezig in OpenSSL 1.0.1 en 1.0.2-beta1. Desondanks adviseert OpenSSL in de security advisory gebruikers die een verouderde versie van OpenSSL gebruiken preventief te upgraden naar de nieuwste versie.
Verschillende webbrowsers zoals de desktop-varianten van Chrome, Safari en Firefox maken gebruiken van een andere SSL-/ TLS-library dan OpenSSL. Gebruikers van deze webbrowsers maken dus geen gebruik van OpenSSL, waardoor zij niet kwetsbaar zijn voor een dergelijke aanval. De Android-variant van Chrome maakt echter wel gebruik van OpenSSL, waardoor gebruikers van deze webbrowser wel degelijk kwetsbaar kunnen zijn.
Al langer bekend
De bug is overigens al op 1 mei 2014 ontdekt. Het team achter OpenSSL geeft echter nu pas ruchtbaarheid aan het probleem, aangezien inmiddels een patch beschikbaar is die het lek dicht.
Het is niet de eerste keer dat OpenSSL door een ernstige kwetsbaarheid wordt getroffen. Twee maanden geleden kwam de Heartbleed-bug aan het licht, een ernstige kwetsbaarheid waar een enorme hoeveelheid websites door getroffen is. Aanvallers konden met behulp van de Heartbleed-bug delen van het intern geheugen van een server uitlezen indien deze gebruik maakt van OpenSSL. Hierdoor konden zij allerlei gevoelige gegevens in handen krijgen, waaronder privé encryptiesleutels en onversleutelde wachtwoorden.
Meer over
Lees ook
Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s
De introductie van Sora door OpenAI markeert een mijlpaal in videobewerking. De revolutionaire technologie is opwindend, maar roept tegelijkertijd vragen op over de gevolgen van de rol van AI bij het maken van digitale content en cybersecurity.
Verfijndere cyberaanvallen nog geen wake-up call
ABN ARMO: Ondanks het hoge dreigingsniveau blijft de risicoperceptie in het Nederlandse bedrijfsleven achter. Ondernemers lijken de risico’s pas te onderkennen als een aanval tot schade leidt
Terugblik met Remco Geerts van Tesorion
InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.