Alvorligt sikkerhedshul i OpenSSL – opdater straks virksomhedens servere

Krypteringssoftwaren OpenSSL, som bruges til kryptering af data på de fleste webservere, er ramt af to alvorlige sårbarheder. Virksomheder bør straks opdatere deres servere.

Alvorligt sikkerhedshul i OpenSSL – opdater straks virksomhedens servere

Langt de fleste webservere over hele verden, som bruger den moderne og krypterede internetprotokol HTTPS, anvender open source-løsningen OpenSSL til at kryptere dataene. Dermed kan brugernes indhold ikke aflyttes eller læses, når det transporteres mellem servere og enheder, der modtager og sender data.

The OpenSSL Project, som star bag OpenSSL, har dog annonceret to potentielt alvorlige sårbarheder i krypteringssoftwaren. Sårbarhederne (CVE-2022-3602 og CVE-2022-3786) påvirker version 3.0.0.0 og nyere versioner af OpenSSL og er blevet rettet i version 3.0.7.

CVE-2022-3602 er en såkaldt 4-byte stack buffer overflow, som kan føre til nedbrud eller fjernudførelse af kode (RCE). Den anden sårbarhed, CVE-2022-3786, kan bruges af cyberkriminelle til at udsætte en webserver for et DoS-angreb gennem et buffer overflow alene ved at sende en ondsindet e-mail.

Læs også: It- og cybersikkerhed har aldrig været vigtigere end i dag

Opdater virksomhedens webservere hurtigst muligt

The OpenSSL Project oplyser, at man endnu ikke har set eksempler på, at de to sårbarheder har ført til nogle konkrete angreb mod sårbare webservere. Fordi det meste af internettets webservere bruger OpenSSL, ser it-sikkerhedsvirksomheder dog set på sårbarhederne med enorm alvor.

“Nyheden om, at The OpenSSL Project frigiver en opdatering, der lukker et alvorligt sikkerhedshul, har sat tech-verdenen i højeste alarmberedskab. For alvorlige sikkerhedshuller i OpenSSL kan i værste tilfælde fjerne grundlaget for kryptering på internettet, og dermed vores alles privatliv. Det kan derfor ikke understreges nok, hvor stor denne sårbarhed er,” siger Jan Johannsen, der er Regional Director for Security Engineering i Norden og Benelux hos Check Point Software Technologies.

Check Point og sikkerhedsvirksomheden Armis – og ikke mindst The OpenSSL Project selv – opfordrer virksomheder til straks at opdatere OpenSSL til version 3.0.7, som blev offentliggjort 1. november. Det vil nemlig være med til at reducere risikoen for, at cyberkriminelle opdager og udnytter sårbarheden.

Virksomheder er selv ansvarlige for at opdatere

“OpenSSL-projektet patcher og opdaterer deres software, men det er vigtigt at pointere, at virksomheder, der anvender OpenSSL, selv er ansvarlige for at opdatere deres software, inden de eksponerer sig unødigt for et alvorligt cyberangreb. Det gælder alle virksomheder, men i særdeleshed også de virksomheder, der arbejder med kritisk infrastruktur, som i disse tider for alvor er på de cyberkriminelles radar,” siger Lars Hermind, der Regional Sales Director Benelux & Nordics for Armis.

Læs også: Nyheder om it- og cybersikkerhed