Luki w OpenSSL mogą zagrozić setkom tysięcy użytkowników
2022-11-02 11:28
Luki w OpenSSL mogą zagrozić setkom tysięcy użytkowników © fot. mat. prasowe
Eksperci potwierdzili dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, czyli bibliotece kodów, służącej bezpiecznej komunikacji w Internecie. Pierwsza z nich umożliwia wykonanie złośliwego kodu (RCE) na komputerze ofiary, natomiast druga na przeprowadzenie ataku typu DDoS, dokonywanego w celu uniemożliwienia dostępu do usług online - informują eksperci Check Point Software.
Przeczytaj także: Wybory parlamentarne niosą ryzyko cyberataków. Znamy potencjalne scenariusze
W zeszłym tygodniu twórcy OpenSSL poinformowali o zbliżającej się „krytycznej” luce, będącej prawdopodobnie pierwszym tak dużym problemem od czasu niesławnej podatności Heartbleed (CVE-2014-0160) osiem lat temu. Analitycy bezpieczeństwa potwierdzili ostatecznie dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi).Na razie wpływ nowej luki wydaje się ograniczony do ewentualnej „odmowy usługi” (denial of service), czyli zawieszenia programów, jednak eksperci zaznaczają, że inne, jeszcze niezidentyfikowane platformy, mogą okazać się bardziej narażone na ryzyko.
Nic nie wskazuje na to, że którakolwiek z podatności została wykorzystana, ale mimo to warto przeprowadzać audyt systemów pod kątem potencjalnego narażenia na podatne na ataki wersje OpenSSL 3.0.xi, a także aktualizować wszelkie oprogramowania.
Użytkownicy obsługujący serwery TLS mogą rozważyć wyłączenie uwierzytelniania klienta TLS jako obejście bez instalowania poprawek – dodają eksperci Check Pointa.
Od SolarWinds, przez Log4j, do podatności OpenSSL, obserwujemy wykładniczy wzrost częstotliwości i złożoności cyberataków na całym świecie. OpenSSL to branżowa podstawa zabezpieczania Internetu, umożliwiająca bezpieczną komunikację w poczcie e-mail, witrynach internetowych i aplikacjach internetowych, co czyni to zagrożenie szczególnie niebezpiecznym – czytamy w komunikacie Check Pointa.
fot. mat. prasowe
Luki w OpenSSL mogą zagrozić setkom tysięcy użytkowników
Analitycy bezpieczeństwa potwierdzili dwie nowe krytyczne luki w zabezpieczeniach OpenSSL, które znaczone zostały jako CVE-2022-3602 (zdalne wykonanie kodu) i CVE-2022-3786 (odmowa usługi)
Luka umożliwia zdalne wykonanie kodu, co stwarza wysokie ryzyko dla każdego produktu zaszyfrowanego SSL. Nasza firma dostarczy wirtualną łatkę, aby dać zapewnić klientom odpowiedni czas na aktualizację ich bibliotek OpenSSL. Użytkownicy powinni być chronieni do czasu, gdy będą dostępne dalsze aktualizacje - mówi Lotem Finkelsteen, dyrektor ds. analizy zagrożeń i badań w Check Point Software.
Eksperci sugerują, że nadszedł czas, aby branża technologiczna zaktualizowała wszystkie wrażliwe produkty za pomocą opublikowanej poprawki, aby ich klienci nie musieli się martwić o cyberprzestępców, którzy pracują nad wykorzystaniem informacji zebranych na temat luk. Nie jest to jednak łatwe zadanie, więc niektórym dostawcom zajmie to więcej czasu.
Warto podkreślić, że luki zostały wykryte w wersjach od 3.0.0 do 3.0.6 i załatane w najnowszej wersji 3.0.7. Obie aktualizacje dotyczą tylko OpenSSL 3.0.x, czyli linii wydań, która zadebiutowała w 2021 roku, co jest kolejnym czynnikiem ograniczającym zakres całego problemu.
Atak DDoS na rządowy serwis eZamówienia - czas na kolejny stopień alarmowy?oprac. : eGospodarka.pl
Więcej na ten temat:
OpenSSL, luki w zabezpieczeniach, denial of service, DDoS, ataki DDoS, cyberataki, cyberzagrożenia
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]](https://s3.egospodarka.pl/grafika2/reklama-internetowa/Reklama-w-internecie-telewizji-i-w-radio-w-XII-2024-264581-50x33crop.jpg "Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]")
Reklama w internecie, telewizji i w radio w XII 2024
