Artikel top billede

Ny alarm: OpenSSL bløder igen

Krypteringsprotokollen OpenSLL er under pres igen. Efter den katastrofale Heartbleed-sårbarhed er der fundet nye huller i OpenSLL-protokollen.

Så er den gal igen i krypteringsprotokollen OpenSLL, efter sikkerhedsmiseren Heartbleed tilbage i april.

Flere sårbarheder er blevet identificeret i forskellige versioner af OpenSLL, som nu har udsendt advarsler om blandt andet risici for man-in-the-middle-angreb, hvis både servere og klienter er inficerede af sårbarhederne.

Sikkerhedsselskabet CSIS Security Group fortæller i en informationsmail, at sårbarhederne ikke er i Heartbleed-klassen, men skal tages alvorligt under alle omstændigheder.

"Den formidlende omstændighed ved denne sårbarhed, som gør et angreb mindre sandsynligt end Heartbleed, er at både klient og server skal være sårbare på samme tid. Et bredspekteret angreb som Heartbleed er ikke isoleret set muligt," skriver CSIS i sin informationsmail.

Samtidig understreger sikkerhedsselskabet, at eksempelvis offentlige access points (AP) er oplagte mål for angreb.

"Man kan simulere at være et AP og dermed opsnappe kommunikation, som på trods af at være krypteret, kan eksponere brugernavne og passwords samt andet sensitivt data," lyder advarslen fra CSIS Security Group.

Sådan opstår problemerne

Problemerne med OpenSSL opstår, når det skal skabes forbindelse mellem server og klienter.

"SSL/TLS sessions initeres med et "ClientHello" og "ServerHello" handshake på begge sider. Disse indeholder forskellige data som er nødvendige for at oprette den krypterede, sikrede forbindelse og inkluderer blandt andet protokol version, encryption protokoler, encryption nøgler, Message Authentication Code (MAC) secret og Initializaton Vectors (IV)," beskriver CSIS.

Sikkerhedsselskabet forklarer, at ved at gøre brug af ChangeCipherSpec (CCS) er det muligt at ændre attributer, hvorved der opstår risiko for man-in-the-middle-angreb, da "ChangeCipherSpec"-standarden ikke overholdes.

"Sårbarheden kan således udnyttes ved at etablere et falsk AP og vente på en bruger anvender det. Dernæst vente på, at en ny TLS forbindelse oprettes efterfulgt af et ClientHello/ServerHello handshake.

Herefter kan der udstedes en CCS-pakke, som sendes i begge retninger, der får OpenSSL til at udstede en 0-længe premaster secret key," lyder forklaringen fra CSIS.

"Samtlige sessioner i den åbne OpenSSL session vil være påvirket af denne 0-længe master secret nøgle, hvilket gør at man kan genforhandle handshaket og dekryptere alt indhold og endda modificere pakker i transsit over linjen," fortsætter sikkerhedsselskabet sin forklaring i sin informationsmail.

Sårbarheden er blevet lappet, og CSIS anbefaler, at man følger anvisningerne på OPenSLL's hjemmeside, som du kan finde her.

Læs også:
Heartbleed-hackere har været forbi Danmark




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere