Eksperci ostrzegają przed dwoma krytycznymi lukami w OpenSSL, czyli oprogramowaniu do zarządzania protokołami SSL i TLS. Jedna z luk umożliwia wykonanie złośliwego kodu (RCE) na komputerze ofiary, inna na przeprowadzenie ataku typu DDoS. Na razie wpływ nowej luki wydaje się ograniczony do ewentualnej „odmowy usługi” (denial of service), jednak eksperci zaznaczają, że inne, jeszcze niezidentyfikowane platformy, mogą okazać się bardziej narażone na ryzyko.
W zeszłym tygodniu byliśmy świadkami nietypowych kroków twórców OpenSSL, którzy poinformowali o zbliżającej się „krytycznej” luce, będącej prawdopodobnie pierwszym tak dużym problemem od czasu niesławnej podatności Heartbleed (CVE-2014-0160) osiem lat temu. Analitycy bezpieczeństwa potwierdzili ostatecznie dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi).
Nic nie wskazuje na to, że którakolwiek z podatności została wykorzystana, ale warto przeprowadzać audyt systemów pod kątem potencjalnego narażenia na ataki OpenSSL 3.0.x, a także zaktualizować oprogramowanie. „Od SolarWinds, przez Log4j, do podatności OpenSSL, obserwujemy wykładniczy wzrost częstotliwości i złożoności cyberataków na całym świecie. OpenSSL to branżowa podstawa zabezpieczania Internetu, umożliwiająca bezpieczną komunikację w poczcie e-mail, witrynach internetowych i aplikacjach internetowych, co czyni to zagrożenie szczególnie niebezpiecznym”. – czytamy w komunikacie Check Pointa.
Eksperci sugerują, aby branża technologiczna zaktualizowała wszystkie wrażliwe produkty za pomocą nowej wersji OpenSSL 3.0.7, aby ich klienci nie musieli się martwić o cyberprzestępców, którzy pracują nad wykorzystaniem informacji zebranych na temat luk. Przygotowana została strona internetowa, która przedstawia popularniejsze produkty bezpieczeństwa, korzystające z podatnych wersji OpenSSL.
Podatności wykryte w wersjach od 3.0.0 do 3.0.6 zostały załatane w najnowszej wersji 3.0.7. Aktualizacja dotyczy tylko OpenSSL 3.0.x, czyli wydania, które zadebiutowało w 2021 roku.
