Qualys detecteert HeartBleed-kwetsbaarheid in OpenSSL

Qualys, speler van oplossingen voor cloud-security en compliance-management, biedt via zijn Qualys SSL Labs detectie van de kwetsbaarheid in OpenSSL die bekend staat als HeartBleed (CVE-2014-0160).

Websitebeheerders kunnen de gratis tools vinden op https://www.ssllabs.com. Na het invullen van een URL wordt duidelijk of hun site kwetsbaar is voor de nieuwe bedreiging. Ook biedt Qualys informatie over de kwaliteit van de SSL-implementatie op de site. Qualys ziet het gebruik van SSL Labs enorm toenemen, sinds de nieuwe kwetsbaarheid bekend is geworden.

Klanten van Qualys kunnen de HeartBleed-kwetsbaarheid ook vaststellen via de QualysGuard Vulnerability Management-cloudservice (VM) als QID 42430. Zij krijgen een gedetailleerde rapportage over de HeartBleed kwetsbaarheid binnen hun organisatie wanneer ze een scan uitvoeren, welke voorziet in informatie om de kwetsbaarheid op te kunnen lossen.

“De HeartBleed-kwetsbaarheid is gemakkelijk te misbruiken en er zijn al veel proof-of-concept-tools beschikbaar die je binnen enkele minuten kan gebruiken”, zegt Ivan Ristic, Director of Engineering bij Qualys en een bekende SSL-expert. “Na een succesvolle aanval kan een aanvaller een flink deel van het servergeheugen overnemen dat private keys van servers, sessie-keys, wachtwoorden en andere gevoelige data kan bevatten. IT-beheerders moeten hun kwetsbaarheid in kaart brengen en de gepatchte versie installeren als dat nodig is.”

Witold Kepinski