F5 Big-IP kwetsbaar voor Bleichenbacher-aanval
Netwerkfabrikant F5 Networks heeft een ernstig beveiligingslek in het Big-IP-platform gepatcht waardoor aanvallers de mogelijkheid hadden om man-in-the-middle-aanvallen uit te voeren en de inhoud van versleutelde berichten in te zien. Het Big-IP-platform draait op allerlei apparaten voor de zakelijke markt.
Het probleem speelde bij Big-IP virtuele servers die met een client-ssl-profiel geconfigureerd zijn. Deze apparaten zijn kwetsbaar voor een "Bleichenbacher-aanval". Daniel Bleichenbacher is een Zwitserse cryptograaf die in 2006 een kwetsbaarheid in RSA-implementaties demonstreerde, waardoor het mogelijk is om RSA-handtekeningen te vervalsen. In het geval van Big-IP is hierdoor "plaintext recovery" van versleutelde berichten mogelijk. De aanval zou door een gebruiker met toegang tot het netwerkverkeer of in het geval van een man-in-the-middle-positie kunnen worden uitgevoerd.
Volgens Nick Sullivan, cryptograaf bij Cloudflare, gaat het om een zeer ernstige kwetsbaarheid. Hij merkt echter op dat het lastig is om de verificatie van RSA-handtekeningen goed te implementeren en het om de zoveel tijd fout gaat. Een aantal jaren geleden rolde OpenSSL nog updates uit vanwege een kwetsbaarheid waardoor de Bleichenbacher-aanval mogelijk was. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek is die met een 9,1 beoordeeld. Meer informatie, waaronder details over de updates en workarounds, is in de advisory van F5 te vinden.
Maar goed, slechte publiciteit is ook publiciteit.
De naam blijft het langste hangen, niet de inhoud van het nieuws.
Gratis pr in het quadraat
This vulnerability is not an RSA private key recovery attack and does not compromise the server’s private key.
Jammer dat er aan dit soort twittergeschreeuw meegedaan wordt. Graag feiten checken voor publicatie.
Je hebt de private key ook niet nodig als je de server dingen voor je kan laten signen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.