OpenSSL, een veelgebruikte codebibliotheek die is ontworpen om beveiligde communicatie via internet mogelijk te maken, bevat een kritieke beveiligingskwetsbaarheid. Het OpenSSL-project kondigde hiervoor een patch aan die dinsdag 1 november beschikbaar komt. Omdat OpenSSL zo veel wordt gebruikt, is de potentiële omvang van deze kwetsbaarheid enorm. Check Point waarschuwt voor deze urgentie en roept organisaties op zich voor te bereiden op het patchen en updaten van systemen.
In een
officiële verklaring kondigde het OpenSSL-projectteam de aanstaande release van hun volgende versie aan, die op dinsdag 1 november 2022 wordt uitgebracht. Deze release bevat naar verwachting een oplossing voor een kritiek beveiligingslek.
Het OpenSSL-project definieert een kritieke kwetsbaarheid als volgt: “Kritische ernst. Dit is van invloed op veelvoorkomende configuraties die waarschijnlijk ook misbruikt kunnen worden…”
Hoewel de exacte details van de kwetsbaarheid op dit moment nog onbekend zijn, verwacht Check Point dat het brede aspecten van ons algemene gebruik van internet zal raken. Het kan bijvoorbeeld om het vrijgeven van privésleutels of gebruikersinformatie gaan. In beide gevallen zou het de basis ondermijnen van de versleutelde sessies waar tegenwoordig zoveel services gebruik van maken.
OpenSSL-versies 3.0 en hoger zijn als kwetsbaar gemeld. OpenSSL-versie 3.0.7 zal naar verwachting de komende release zijn en de oplossing voor de kritieke kwetsbaarheid bevatten.
“De aankondiging door OpenSSL zette de internettechnologiegemeenschap op scherp. Een kritieke kwetsbaarheid in OpenSSL heeft het potentieel om de fundamenten van het versleutelde internet en de privacy van ons allemaal te raken. Dit is een groot probleem”, reageert Lotem Finkelstein, Director, Threat Intelligence and Research Area bij Check Point Software.
“Hoewel we nog moeten afwachten waar het OpenSSL-team dinsdag mee komt, willen we er bij alle organisaties op aandringen te inventariseren voor welke apps en webservices ze OpenSSL gebruiken of aanbieden en welke OpenSSL-versie ze gebruiken. Dit kan worden gedaan met Software Bill of Materials (SBoM), die een gedetailleerde lijst biedt van de softwarecomponenten van het bedrijf. Dit stelt organisaties in staat prioriteit te geven aan kritieke gebieden en zich voor te bereiden op de verwachte patch.”
Check Point raadt organisaties verder aan om alert te blijven en de best practices van beveiliging toe te passen, waaronder het patchen en updaten van alle systemen naar de nieuwste versies, en zich voorbereiden om IPS bij te werken zodra deze beschikbaar zijn.
------
Over Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (
www.checkpoint.com) levert cybersecurity-oplossingen aan enterprises en overheden wereldwijd. Check Point Infinity´s portfolio beschermt ondernemingen tegen 5e generatie cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere bedreigingen. Infinity’s drie pijlers bieden beveiliging en Gen V bedreigingspreventie over de bedrijfsomgevingen heen: Check Point Harmony, voor gebruikers op afstand; Check Point CloudGuard, om clouds automatisch te beveiligen; en Check Point Quantum, om netwerkperimeters en datacenters te beschermen, allemaal aangestuurd door het meest uitgebreide, intuïtieve unified security management in de industrie; Check Point Horizon, een prevention-first security operations suite. Check Point beschermt meer dan 100.000 organisaties van elke omvang.