Artikel top billede

Ny alarm: OpenSSL bløder igen

Krypteringsprotokollen OpenSLL er under pres igen. Efter den katastrofale Heartbleed-sårbarhed er der fundet nye huller i OpenSLL-protokollen.

Så er den gal igen i krypteringsprotokollen OpenSLL, efter sikkerhedsmiseren Heartbleed tilbage i april.

Flere sårbarheder er blevet identificeret i forskellige versioner af OpenSLL, som nu har udsendt advarsler om blandt andet risici for man-in-the-middle-angreb, hvis både servere og klienter er inficerede af sårbarhederne.

Sikkerhedsselskabet CSIS Security Group fortæller i en informationsmail, at sårbarhederne ikke er i Heartbleed-klassen, men skal tages alvorligt under alle omstændigheder.

"Den formidlende omstændighed ved denne sårbarhed, som gør et angreb mindre sandsynligt end Heartbleed, er at både klient og server skal være sårbare på samme tid. Et bredspekteret angreb som Heartbleed er ikke isoleret set muligt," skriver CSIS i sin informationsmail.

Samtidig understreger sikkerhedsselskabet, at eksempelvis offentlige access points (AP) er oplagte mål for angreb.

"Man kan simulere at være et AP og dermed opsnappe kommunikation, som på trods af at være krypteret, kan eksponere brugernavne og passwords samt andet sensitivt data," lyder advarslen fra CSIS Security Group.

Sådan opstår problemerne

Problemerne med OpenSSL opstår, når det skal skabes forbindelse mellem server og klienter.

"SSL/TLS sessions initeres med et "ClientHello" og "ServerHello" handshake på begge sider. Disse indeholder forskellige data som er nødvendige for at oprette den krypterede, sikrede forbindelse og inkluderer blandt andet protokol version, encryption protokoler, encryption nøgler, Message Authentication Code (MAC) secret og Initializaton Vectors (IV)," beskriver CSIS.

Sikkerhedsselskabet forklarer, at ved at gøre brug af ChangeCipherSpec (CCS) er det muligt at ændre attributer, hvorved der opstår risiko for man-in-the-middle-angreb, da "ChangeCipherSpec"-standarden ikke overholdes.

"Sårbarheden kan således udnyttes ved at etablere et falsk AP og vente på en bruger anvender det. Dernæst vente på, at en ny TLS forbindelse oprettes efterfulgt af et ClientHello/ServerHello handshake.

Herefter kan der udstedes en CCS-pakke, som sendes i begge retninger, der får OpenSSL til at udstede en 0-længe premaster secret key," lyder forklaringen fra CSIS.

"Samtlige sessioner i den åbne OpenSSL session vil være påvirket af denne 0-længe master secret nøgle, hvilket gør at man kan genforhandle handshaket og dekryptere alt indhold og endda modificere pakker i transsit over linjen," fortsætter sikkerhedsselskabet sin forklaring i sin informationsmail.

Sårbarheden er blevet lappet, og CSIS anbefaler, at man følger anvisningerne på OPenSLL's hjemmeside, som du kan finde her.

Læs også:
Heartbleed-hackere har været forbi Danmark




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere