27 Ekim 2022 Perşembe günü, OpenSSL kriptografi kitaplığının geliştiricileri, kritik bir güvenlik açığını giderecek kritik bir güncellemenin 1 Kasım Salı günü duyurulacağına dair olağandışı bir ön uyarı adımı attılar. OpenSSL kitaplığı tam olarak göründüğü gibidir – güvenli iletişimi mümkün kılan SSL ve TLS şifreleme protokollerinin açık kaynaklı bir uygulaması. Tarayıcınızda web adresinizin solundaki kilit simgesini düşünün. Yaklaşan kritik düzeltme (OpenSSL 3.0.7) hakkında, kitaplığın en son yayın satırı olan OpenSSL sürüm 3.0 ile sınırlı olması dışında henüz pek bir şey bilinmiyor. OpenSSL, önceki sürümleri etkilemediğini belirtir. Yaklaşan yamanın veya ele aldığı kritik kusurun hiçbir ayrıntısı açıklanmasa da, olası bir DDoS güvenlik açığına odaklandığı bazı spekülasyonlar var. OpenSSL 3.0.x 2021’de piyasaya sürüldü, umarız Salı günkü duyurunun ortaya çıkaracağı sorunların kapsamını sınırlayacak bir faktör.
Armis’te Ürün ve Endüstri Çözümlerinden Sorumlu Başkan Yardımcısı Chris Dobrec, güvenlik ekiplerinin hazırlanmak için aşağıdakileri tavsiye ediyor.
OpenSSL, bir komut satırı yardımcı programı sağlar ve hızlı bir sorgu, herhangi bir cihazda çalışan SSL kitaplığınızın sonuçlarını döndürür:
% openssl sürümü
OpenSSL 3.0.5 5 Temmuz 2022 (Kütüphane: OpenSSL 3.0.5 5 Temmuz 2022)
Yukarıdaki sonuçlar, 1 Kasım Salı günü yayınlanacak olan yamaya ihtiyaç duyan SSL 3.x kitaplığına sahip bir sistemi gösteriyor.
Bu kontrole ek olarak, sistemlerin OpenSSL içeren uygulama yazılımları veya cihazları da çalıştırması mümkün olduğundan standart olmayan kurulumları aramanız gerekebilir. Tüm yazılım tedarikçilerinizden, özellikle İnternet’e yönelik yazılım veya donanım sağlayanlardan gelen iletişimlere dikkat edin.
Yaklaşan OpenSSL 3.x güvenlik açıklarını belirlemek ve düzeltmek için gerekli zamanı ayırırken, yol boyunca yamalanması gereken diğer kritik OpenSSL güvenlik açıklarının da bulunduğunu bilin: CVE-2016-6309 ve en büyük OpenSSL sorunu – Heartbleed , 2014’te açıklandı (Heartbleed, OpenSSL’nin önem ölçütlerinden önce gelir). Heartbleed, uzaktaki saldırganların hassas verileri ifşa etmesine izin verdi ve olaydan yıllar sonra ortalığı kasıp kavurmaya devam etti. İnternetin gönüllüler tarafından yürütülen küçük ve modası geçmiş projelere bağımlılığını ortaya çıkardı ve OpenSSL’nin karmaşık kod tabanını temizlemeye çalışan LibreSSL ve BoringSSL gibi çatallar yarattı.
1 Kasım’ın yayınlanmasına yaklaştıkça ek önemli bilgiler gün ışığına çıktıkça ve daha sonra, bu gönderiyi, ortamınızdaki tüm BT, OT ve IoT cihazlarını aramak ve tanımlamak için Armis’in nasıl kullanılacağı da dahil olmak üzere en alakalı bilgilerle güncelleyeceğiz. bu güvenlik açığına karşı savunmasız.
Güvenlik uzmanlarından en son OpenSSL güvenlik açığını ve bunun sizin ve firmanız için ne anlama geldiğini tartışmak ve açıklamak için 2 Kasım 2022 Çarşamba günü 11:30 EST/15:30pm GMT’de Armis’in en son web semineri ‘OpenSSL Güvenlik Açığı Açıklamasına katılın. Kayıt olmak için buraya tıklayın.