OpenSSL opnieuw getroffen door ernstige beveiligingslek
Opnieuw is een ernstige kwetsbaarheid opgedoken in OpenSSL. Aanvallers kunnen via een man-in-the-middle-aanval netwerkverkeer onderscheppen. De aanval is echter alleen mogelijk als het slachtoffer OpenSSL gebruikt.
Het probleem wordt beschreven in een securitybulletin van OpenSSL. Een aanvaller zou in staat zij het gebruik van zwakke versleuteling af te dwingen in OpenSSL. Deze zwakke versleuteling kan vervolgens door de cybercrimineel worden gekraakt, waarna het netwerkverkeer kan worden afgeluisterd en gemanipuleerd.
Kwetsbare client en server nodig
Om de aanval uit te voeren is het noodzakelijk dat zowel de client (de gebruiker) als de server gebruik maakt van een kwetsbare variant van OpenSSL. Alle versies van de OpenSSL-client zijn kwetsbaar. De kwetsbaarheid is in de servervariant alleen aanwezig in OpenSSL 1.0.1 en 1.0.2-beta1. Desondanks adviseert OpenSSL in de security advisory gebruikers die een verouderde versie van OpenSSL gebruiken preventief te upgraden naar de nieuwste versie.
Verschillende webbrowsers zoals de desktop-varianten van Chrome, Safari en Firefox maken gebruiken van een andere SSL-/ TLS-library dan OpenSSL. Gebruikers van deze webbrowsers maken dus geen gebruik van OpenSSL, waardoor zij niet kwetsbaar zijn voor een dergelijke aanval. De Android-variant van Chrome maakt echter wel gebruik van OpenSSL, waardoor gebruikers van deze webbrowser wel degelijk kwetsbaar kunnen zijn.
Al langer bekend
De bug is overigens al op 1 mei 2014 ontdekt. Het team achter OpenSSL geeft echter nu pas ruchtbaarheid aan het probleem, aangezien inmiddels een patch beschikbaar is die het lek dicht.
Het is niet de eerste keer dat OpenSSL door een ernstige kwetsbaarheid wordt getroffen. Twee maanden geleden kwam de Heartbleed-bug aan het licht, een ernstige kwetsbaarheid waar een enorme hoeveelheid websites door getroffen is. Aanvallers konden met behulp van de Heartbleed-bug delen van het intern geheugen van een server uitlezen indien deze gebruik maakt van OpenSSL. Hierdoor konden zij allerlei gevoelige gegevens in handen krijgen, waaronder privé encryptiesleutels en onversleutelde wachtwoorden.
Meer over
Lees ook
ManageEngine roept op tot een wachtwoordvrije toekomst
Naar aanleiding van Wereld Wachtwoord Dag roept ManageEngine, een divisie van Zoho Corporation en leverancier van IT-beheeroplossingen voor bedrijven, organisaties en individuen wereldwijd op om de hardnekkige gewoonte van het gebruik van zwakke en hergebruikte wachtwoorden achter zich te laten.
Genetec lanceert AutoVu plug-in: automatische kentekenplaat analyse versnelt onderzoek naar incidenten
Genetec Inc. marktleider op het gebied van software voor fysieke beveiliging, introduceert vandaag de AutoVu™ ALPR Analysis Reports plugin. Deze geavanceerde onderzoekstool breidt de forensische zoekmogelijkheden op basis van automatische kentekenplaatherkenning (ALPR) binnen Genetec™ Security Center verder uit.
Arctic Wolf introduceert AI-assistent Cipher in samenwerking met Anthropic
Cipher is het nieuwste onderdeel van Alpha AI – Arctic Wolfs portfolio van AI-technologieën – en maakt gebruik van de geavanceerde mogelijkheden van het Arctic Wolf Aurora-platform. Het Aurora-platform is gebouwd op een open XDR-architectuur die wekelijks meer dan 8 biljoen security events verwerkt