Het Nationaal Cyber Security Centrum (NCSC) heeft de dreiging van een kwetsbaarheid in OpenSSL verhoogd nadat proof-of-concept exploitcode online is verschenen. De kans dat aanvallers op korte termijn misbruik van het beveiligingslek zullen maken met grote schade tot gevolg is groot.
Via het beveiligingslek kan een aanvaller servers laten crashen en zo een denial of service veroorzaken. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.
Donderdag kwam OpenSSL met een beveiligingsupdate voor twee kwetsbaarheden, aangeduid als CVE-2021-3449 en CVE-2021-3450. De eerste kwetsbaarheid doet zich voor bij het opzetten van een beveiligde verbinding tussen een client en server. Een aanvaller kan door het versturen van een malafide renegotiation ClientHello message naar een OpenSSL TLS-server een crash veroorzaken wat tot een denial of service leidt.
Voor deze kwetsbaarheid is nu proof-of-concept exploitcode verschenen wat aanvallers kan helpen bij het aanvallen van kwetsbare servers. "Uit onderzoek is gebleken dat CVE-2021-3449 gemitigeerd kan worden door secure renegotiation uit te schakelen. Dit heeft echter als negatief gevolg dat 'insecure renegotiation' daarmee als enige variant overblijft. Het NCSC raadt het gebruik van insecure renegotiation af", zo laat de overheidsinstantie weten. Die voegt toe dat na het installeren van de update, in sommige gevallen een herstart van de server nodig is om de kwetsbaarheden volledig te verhelpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.