Op 1 november 2022 heeft het OpenSSL-team een update uitgebracht voor een kwetsbaarheid die vooraf werd ingeschaald als CRITICAL, maar nu is bestempeld als HIGH. Het betreft buffer overflow kwetsbaarheden, zoals te lezen is op de website van OpenSSL.
Wat is OpenSSL?
OpenSSL is een van de meest gebruikte implementaties voor het opzetten van versleutelde verbindingen, bijvoorbeeld voor websites (https). De twee kwetsbaarheden die worden opgelost met versie 3.0.7 zijn buffer overflows en zijn gelabeld als CVE-2022-3602 en CVE-2022-3786. Meer informatie over de buffer overflow kwetsbaarheden lees je op de website van OpenSSL: https://www.openssl.org/news/secadv/20221101.txt
Ons advies
Het is goed om te weten dat alleen versie 3.0.x van OpenSSL kwetsbaar is. Voorgaande versies 1.1.1 en 1.0.2 hebben de kwetsbaarheid niet. Wat nu te doen staat is tweeledig:
Houd berichtgeving vanuit leveranciers en fabrikanten in de gaten. Waarschijnlijk zullen op korte termijn updates worden uitgebracht voor kwetsbare software.
Breng in kaart waar OpenSSL in de organisatie wordt gebruikt en welke versie dat is.
Als je toegang hebt tot de command line op een Linux- of Windows-systeem dan is de OpenSSL versie snel te zien met het commando “openssl version”. Als OpenSSL is geïnstalleerd zal een versienummer getoond worden. In Windows moet wellicht eerst naar het pad genavigeerd worden waar openssl.exe staat.
Vulnerability Management
Idealiter gebruik je een vulnerability management tool, zoals InsightVM van Rapid7 of ManageEngine, zodat alle systemen worden gescand op de aanwezigheid van deze en andere kwetsbaarheden. Vulnerability management tooling is bij uitstek bedoeld om te helpen in dit soort situaties. Wil je meer weten over hoe wij vulnerability management toepassen? Bekijk de opname van onze live demonstratie via deze link: https://vimeo.com/724875629
Eerste inventarisatie van ons portfolio
Wij zijn aan het inventariseren welke producten die wij gebruiken de kwetsbaarheid zouden kunnen hebben. Op dit moment is de status als volgt:
Cryptshare: NIET kwetsbaar;
Deep Instinct: NIET kwetsbaar;
Rapid7: Nog niet bekend;
Sentinel One: Nog niet bekend;
Trellix ePolicy Orchestrator: NIET kwetsbaar.
Voor onze managed/hosted klanten
Uiteraard houden wij verdere berichtgeving van onze vendoren en andere partijen waar wij mee samenwerken nauw in de gaten. Wanneer er aanleiding voor is zullen we verdere berichtgeving sturen. Wij scannen onze systemen continu op de aanwezigheid van kwetsbaarheden.
Mocht blijken dat sprake is van de kwetsbaarheid in een component wat wordt gebruikt als onderdeel van onze dienstverlening dan communiceren we hierover zodra dit bekend is. Eventueel uit te voeren acties zullen direct worden uitgevoerd. Afhankelijk van de impact op de omgeving doen we dat in overleg.
Meer weten?
Bart Schultink helpt je graag verder. Je kunt hem bereiken op: bart@mydigitals.nl