Censys: slechts zevenduizend servers met OpenSSL 3.0 op internet
Vanmiddag verschijnt er een belangrijke beveiligingsupdate voor OpenSSL 3.0, maar het aantal kwetsbare servers is zeer beperkt, zo stelt securitybedrijf Censys. Het bedrijf vond slechts zevenduizend servers die van OpenSSL 3.0 gebruikmaken, waarvan 167 in Nederland. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.
Kritieke kwetsbaarheden worden zelden in de software gevonden. Het is pas de tweede keer dat er een kritieke beveiligingsupdate verschijnt. De vorige keer was in 2016. Via dergelijke beveiligingslekken kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens buitmaken.
Vorig jaar september kwam OpenSSL met versie 3.0, de eerste grote release in drie jaar tijd. De meeste organisaties werken echter nog met OpenSSL 1.1.x, die niet kwetsbaar is. Censys ontdekte op internet bijna 1,8 miljoen servers die één of meerdere services draaien die van OpenSSL gebruikmaken. Slechts 7000 daarvan (0,4 procent) draaien OpenSSL. In Nederland werden 167 servers aangetroffen. Het gaat dan met name om OpenSSL versies 3.0.1 en 3.0.5.
2. Mogelijk kunnen JA3S hashes gebruikt worden om OpenSSL te detecteren, zie https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/ en https://search.censys.io/search/report?resource=hosts&q=services.software.uniform_resource_identifier%3D%22cpe%3A2.3%3Aa%3A*%3Aopenssl%3A3.*%22&virtual_hosts=EXCLUDE&field=services.tls.ja3s&num_buckets=50. Maar daarin is niet exact af te leiden welke OpenSSL versie gebruikt wordt.
3. Je zou op basis van OS versies kunnen afleiden of OpenSSL 3.0 gebruikt wordt. Dit is echter gevoelig voor interpretatie omdat de exacte versie van OpenSSL daaruit niet af te leiden is.
Voor zover ik weet niet.
Maar je kunt wel services / OS discovery doen met bijv. nmap of shodan.
Die resultaten kun je weer tegen bijv. dit lijstje aanhouden: https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
openssl version
Kan nog steeds erg groot worden.
openssl version
Ja, je snapt de vraag echt. :P Op het moment dat je dat kunt heb je de vulnerability niet meer nodig. Geen enkele vulnerability trouwens.
Kan nog steeds erg groot worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.