"Groot aantal OpenSSL-installaties niet meer ondersteund met updates"
Deze week kreeg een kwetsbaarheid in OpenSSL 3.0 veel aandacht, maar een veel groter probleem is het gebruik van OpenSSL-versies die niet meer met beveiligingsupdates worden ondersteund, zo stelt securitybedrijf Qualys op basis van eigen onderzoek.
OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde.
Het OpenSSL-ontwikkelteam had vorige week aangekondigd dat er een kritieke kwetsbaarheid in OpenSSL 3.0 aanwezig was. De impactbeoordeling werd echter afgeschaald naar een "hoge" impact, zo bleek afgelopen dinsdag bij het uitkomen van de update. Op dit moment zijn er twee versies van OpenSSL die worden ondersteund, namelijk versie 1.1.1 en 3.0.
Securitybedrijf Censys meldde eerder al dat OpenSSL 3.0 weinig wordt gebruikt. Zo trof het bedrijf via een scan slechts zevenduizend servers met deze OpenSSL-versie aan. Qualys besloot bij de eigen klanten te kijken en ontdekte 15.000 organisaties die van OpenSSL gebruikmaken. Tien procent werkt binnen hun eigen omgeving met een kwetsbare OpenSSL 3.0-versie. Qualys besloot ook een serverscan uit te voeren op internet en detecteerde 14 miljoen servers. Slechts 13.000 daarvan draaiden OpenSSL 3.0.
Wat volgens het securitybedrijf een veel grotere zorg is, is het gebruik van OpenSSL-versies die end-of-life of end-of-support zijn. 82 procent van de OpenSSL-installaties die Qualys detecteerde ontvangt geen beveiligingsupdates meer. Sinds 2002 zijn in de verschillende OpenSSL-versies meer dan tweehonderd kwetsbaarheden aangetroffen. Hoewel het aantal werkbare exploits beperkt is, wordt organisaties aangeraden naar een wel ondersteunde versie te updaten.
kwetsbaarheden worden overal aangetroffen. Elke bug is in principe een kwetsbaarheid. Vraag is hoeveel er van kritiek en important zijn. Voor moderate en low maak ik mij niet veel zorgen, maar die moderate en important moet wel binnen een maand worden gepatcht als er een patch beschikbaar is volgens reguliere procedure. Kritiek binnen 2 dagen.
Dit hoeft niet zo te zijn.
Volgens mij bestaan er ook "functionele bugs" dat iets niet correct functioneert of helemaal niet werkt, maar niet een dreiging of kwetsbaarheid hoeft te zijn.
Dit hoeft niet zo te zijn.
Volgens mij bestaan er ook "functionele bugs" dat iets niet correct functioneert of helemaal niet werkt, maar niet een dreiging of kwetsbaarheid hoeft te zijn.
Inderdaad. En we zien de laatste tijd wel vaker dat er kwetsbaarheden zijn die wel in de nieuwe ondersteunde versie zitten (die dan gepatched moet worden) maar in de oude niet meer ondersteunde versie helemaal niet aanwezig waren!
Dat kan bijvoorbeeld komen omdat bepaalde nieuwe hippe functies die erbij geplakt zijn toen nog niet aanwezig waren.
Het toont maar aan dat, hoe mooi software ook kan zijn, het een moreel principe heeft van voor de oertijd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.