Artikel top billede

Ny alarm: OpenSSL bløder igen

Krypteringsprotokollen OpenSLL er under pres igen. Efter den katastrofale Heartbleed-sårbarhed er der fundet nye huller i OpenSLL-protokollen.

Så er den gal igen i krypteringsprotokollen OpenSLL, efter sikkerhedsmiseren Heartbleed tilbage i april.

Flere sårbarheder er blevet identificeret i forskellige versioner af OpenSLL, som nu har udsendt advarsler om blandt andet risici for man-in-the-middle-angreb, hvis både servere og klienter er inficerede af sårbarhederne.

Sikkerhedsselskabet CSIS Security Group fortæller i en informationsmail, at sårbarhederne ikke er i Heartbleed-klassen, men skal tages alvorligt under alle omstændigheder.

"Den formidlende omstændighed ved denne sårbarhed, som gør et angreb mindre sandsynligt end Heartbleed, er at både klient og server skal være sårbare på samme tid. Et bredspekteret angreb som Heartbleed er ikke isoleret set muligt," skriver CSIS i sin informationsmail.

Samtidig understreger sikkerhedsselskabet, at eksempelvis offentlige access points (AP) er oplagte mål for angreb.

"Man kan simulere at være et AP og dermed opsnappe kommunikation, som på trods af at være krypteret, kan eksponere brugernavne og passwords samt andet sensitivt data," lyder advarslen fra CSIS Security Group.

Sådan opstår problemerne

Problemerne med OpenSSL opstår, når det skal skabes forbindelse mellem server og klienter.

"SSL/TLS sessions initeres med et "ClientHello" og "ServerHello" handshake på begge sider. Disse indeholder forskellige data som er nødvendige for at oprette den krypterede, sikrede forbindelse og inkluderer blandt andet protokol version, encryption protokoler, encryption nøgler, Message Authentication Code (MAC) secret og Initializaton Vectors (IV)," beskriver CSIS.

Sikkerhedsselskabet forklarer, at ved at gøre brug af ChangeCipherSpec (CCS) er det muligt at ændre attributer, hvorved der opstår risiko for man-in-the-middle-angreb, da "ChangeCipherSpec"-standarden ikke overholdes.

"Sårbarheden kan således udnyttes ved at etablere et falsk AP og vente på en bruger anvender det. Dernæst vente på, at en ny TLS forbindelse oprettes efterfulgt af et ClientHello/ServerHello handshake.

Herefter kan der udstedes en CCS-pakke, som sendes i begge retninger, der får OpenSSL til at udstede en 0-længe premaster secret key," lyder forklaringen fra CSIS.

"Samtlige sessioner i den åbne OpenSSL session vil være påvirket af denne 0-længe master secret nøgle, hvilket gør at man kan genforhandle handshaket og dekryptere alt indhold og endda modificere pakker i transsit over linjen," fortsætter sikkerhedsselskabet sin forklaring i sin informationsmail.

Sårbarheden er blevet lappet, og CSIS anbefaler, at man følger anvisningerne på OPenSLL's hjemmeside, som du kan finde her.

Læs også:
Heartbleed-hackere har været forbi Danmark




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere