Nova OpenSSL ranjivost prijeti sustavima izloženim na internetu
Projekt OpenSSL je najavio da će 1. studenog 2022. objaviti novu verziju OpenSSL-a, koja će popraviti kritičnu ranjivost otkrivenu u popularnoj kriptografskoj biblioteci otvorenog koda.
U web uslugama okrenutim prema internetu, OpenSSL omogućuje komunikaciju šifriranu TLS-om, a možemo ga naći svugdje - od operativnih sustava, poslovnih aplikacija do softvera web poslužitelja (Apache, nginx, itd.) i raznih mrežnih uređaja dobavljača kao što su Cisco, Fortinet, Symantec, Juniper, itd.
Nova ranjivost podsjeća mnoge na katastrofalnu grešku Heartbleed, otkrivenu 2014. godine, koja je natjerala mnoge na brzo krpanje, jer je ranjivost omogućila napadačima da otkriju osjetljive informacije poput lozinki i tajni, bez ikakve interakcije korisnika.
No, ovaj put ima i nekoliko dobrih vijesti. Prvo, projektni tim OpenSSL-a odlučio je da neće objaviti pojedinosti o ranjivosti i time će se popravljena verzija implementirati prije nego što napadači smisle načine kako da iskoriste grešku.
Drugo, čini se da nova ranjivost utječe samo na OpenSSL verzije 3.0 i novije, koje su manje prisutne u korisničkim implementacijama od ranijih verzija.
Unatoč tome, organizacije će i dalje morati pažljivo pregledavati svu svoju IT imovinu kako bi otkrile potencijalno ranjive sustave, a to zahtijeva mnogo vremena i resursa. Organizacije koje se odluče za upravljane ili SaaS usluge umjesto vlastitih servera, u mnogo su boljem položaju kada se otkriju ovakve ranjivosti koje izravno zahvaćaju sustave izložene internetu (poput Microsoft Exchange-a i drugih). Pokretanje vlastitih poslužitelja na "uradi sam" način postaje sve teže u današnjem okruženju prijetnji.
OpenSSL projekt uglavnom izravno obavještava organizacije s kojima projekt ima komercijalni odnos, pa se može pretpostaviti da pružatelji komercijalnih rješenja, posebno SaaS i drugih upravljanih IT usluga, već implementiraju popravak ili će to učiniti mnogo brže od organizacija s vlastitim poslužiteljima, koje često nemaju kompletan uvid u popis svoje IT imovine.
Nadalje, vrlo vjerojatno da će ranjivost utjecati i na on-premise opremu od dobavljača kao što su Cisco Ironport, Symantec, F5 Networks i mnogih drugih, te će i ovdje biti potrebna manualna intervencija krpanjem.
U svakom slučaju, pripremite se za krpanje 1. studenog i saznajte više o najnovijoj OpenSSL ranjivosti ovdje.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
