Alvorligt hul i krypteringssoftware

Nixu Blog

Nixu Blog

April 10, 2014 at 12:05

Værste sikkerhedshul til dato i OpenSSL
Forleden kom det frem, at der er et alvorligt sikkerhedshul i OpenSSL, som er krypteringssoftware, men hvad betyder det for den enkelte bruger? Og hvilke forholdsregler skal man tage?
Det er måske det værste sikkerhedshul, vi har set til dato. Mange, mange systemer vendt mod internettet er sårbare, fordi OpenSSL er meget udbredt, og problemet er, man kan ikke se, om hullet er blevet udnyttet.

 

Det er ikke brugen af kryptering, der er et problem, men problemet ligger i OpenSSL versionerne 1.0.1 til 1.0.1f, der indeholder sikkerhedshullet. Denne software indgår som en del af mange andre produkter, og meget er derfor sårbart, uden at man tænker over det.

OpenSSL har frigivet version 1.0.1g den 7. april 2014, der ikke er sårbar og som lukker det omtalte sikkerhedshul. Der findes software og online testsider, der kan udnytte sårbarheden, hvis man ikke har opdateret.

Vi har her i Nixu udført forsøg mod en ESXi-server, hvor vi uden anstrengelser fik indhold af RAM fra VM’erne i klar tekst!

Det er temmelig skræmmende at se, hvor nemt man kan hive brugernavne og passwords ud af ellers krypterede hjemmesider, mailsystemer og administrations-interfaces. Mange sikkerhedsprodukter anvender også OpenSSL til administration, klient-kommunikation m.m.

 

Hvad bør vi som virksomhed gøre for at sikre os?

Lige nu og her bør I gøre følgende:

- Få foretaget en struktureret analyse af jeres sårbarhed over for det aktuelle trussel

- Få opdateret relevant software, så sårbarheden er lukket

- Få skiftet de certifikater, som kan have været kompromitteret under sårbarhedsperioden

- Overvej, hvorvidt I fremadrettet skal have en stærkere management af jeres certifikater, så I i fremtiden hurtigere kan imødegå tilsvarende trusler.

 

Sådan kan vi hjælpe jer

Sårbarheden findes desværre også i nogle af de produkter, vi forhandler. Det er helt generelt en god idé at opdatere til nyeste version, men kontakt os for at få nyeste information om netop jeres produkter og versioner. Få svar på om de er sårbare, og om der er kommet en opdatering.

 

Vi vil også gerne hjælpe med at afdække jeres sårbarhedsstatus og tilbyder at identificere sårbare systemer I jeres infrastruktur. Vores rapportering af sårbare systemer indeholder en række anbefalinger, der kan anvendes direkte som prioriteret indsatsliste.