OpenSSL bevat opnieuw een ernstig beveiligingsprobleem
Na de beruchte Heartbleed-bug is het opnieuw raak. OpenSSL, een open source-implementatie van de veilige internetprotocollen SSL/TLS, blijkt opnieuw een ernstige kwetsbaarheid te bevatten. Cybercriminelen kunnen het gat misbruiken om netwerkverkeer van en naar servers af te luisteren. Opnieuw is er dus werk aan de winkel voor bedrijven die OpenSSL inzetten om de communicatie met hun websites te beveiligen.
OpenSSL is een populaire implementatie van SSL/TLS, die door miljoenen websites verspreidt wordt gebruikt om veilige verbindingen tussen de computer van een bezoekers en de server waarop een website gehost staat te garanderen. Het nieuwe lek maakt het mogelijk een 'man-in-the-middle-aanval' op te zetten. Dit is een aanval waarbij een cybercrimineel zich tussen het systeem van een gebruiker en de server waarop een website wordt gehost plaatst.
Zwakke versleuteling afdwingen
Aanvallers kunnen vervolgens dankzij een bug in OpenSSL het gebruik van zwakke versleuteling afdwingen. Deze zwakke versleuteling kan relatief eenvoudig worden gekraakt, wat de aanvaller toegang geeft tot het versleutelde netwerkverkeer. Dit verkeer kan hierna worden afgeluisterd, maar ook gemanipuleerd.
Het is alleen mogelijk een dergelijke cyberaanval op te zetten als zowel aan de serverzijde als de clientzijde (de bezoeker van een website) een kwetsbare versie van OpenSSL wordt gebruikt. Alle versies van de OpenSSL-client zijn echter kwetsbaar. Bij de servervariant van OpenSSL beperkt het probleem zich tot OpenSSL 1.0.1 en OpenSSL 1.0.2-beta1.
Nieuwe patch snel installeren
OpenSSL waarschuwt in een security advisory zelf voor het probleem en adviseert gebruikers direct de laatste patch te installeren, waarmee het gat wordt gedicht. Ook IT-beheerders die aan de serverzijde een oudere (en daarmee niet kwetsbare) OpenSSL-versie gebruiken zouden preventief deze patch moeten installeren.
Het is de tweede keer in korte tijd dat OpenSSL met een ernstig beveiligingslek wordt geconfronteerd. Slechts twee maanden geleden dook de Heartbleed-bug op, een ernstig beveiligingsprobleem dat aanvallers in staat stelde gevoelige informatie uit het interne geheugen van servers te stelen. In dit interne geheugen wordt allerlei gevoelige informatie tijdelijk opgeslagen. Denk hierbij aan privésleutels van beveiligingscertificaten, maar ook aan wachtwoorden. Deze wachtwoorden zijn daarnaast ook nog eens onversleuteld opgeslagen. De Heartbleed-bug kreeg erg veel aandacht, aangezien miljoenen websites door het probleem werden getroffen.
WH
