Klok tikt voor OpenSSL-misbruik

Het gat zit namelijk niet in alle versies.

De waarschuwing van vorige week vermeldt dat het gaat om versie 3.0, waarin een kwetsbaarheid zit die de hoogste inschaling toegekend heeft gekregen. Dit is de classificatie 'kritiek' voor de ernst, wat betekent dat algemene configuraties worden geraakt en dat misbruik daarvan waarschijnlijk is. Verdere details over de aard van het te dichten beveiligingsgat zijn niet gegeven. Wel heeft het OpenSSL-ontwikkelteam aangegeven dat de patch, versie 3.0.7, op 1 november tussen 14:00 en 18:00 uur (Nederlandse tijd) uitkomt.

Na een dag ingetrokken

De nieuwe versie neemt het over van de 3.0.6 release die op 11 oktober dit jaar is uitgekomen. Een dag later is die versie, samen met OpenSSL 1.1.1r, echter weer ingetrokken. "Nieuwe releases worden te zijner tijd gecreëerd", was toen de summiere mededeling van de ontwikkelaars. Beide releases brachten bug fixes, terwijl 3.0.6 ook security fixes bevatte. De voor vandaag geplande 3.0.7-release brengt dus een oplossing voor een kritieke kwetsbaarheid.

Volgend op de aankondiging daarvan zijn diverse leveranciers en organisaties met eigen informatiebulletins en waarschuwingen gekomen. Daaronder ook het NCSC (Nationaal Cyber Security Centrum) van de Nederlandse overheid, dat een aparte GitHub-pagina heeft ingericht om de aanwezigheid van OpenSSL-versies in andere ICT-producten in kaart te brengen. "De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem", meldt het NCSC daarbij.

À la Log4j?

Een soortgelijke kwestie van versieverschillen en een kritieke kwetsbaarheid is eind vorig jaar opgetreden bij de veelgebruikte Java-tool Log4j. Het NCSC heeft daarvoor toen een overzichtspagina opgezet om wereldwijd beheerders te helpen en waarvoor het veel lof heeft geoogst. Het bleek namelijk dat het kwetsbare Log4j verwerkt zat in vele verschillende producten van diverse leveranciers.

OpenSSL kent waarschijnlijk een nog veel grotere mate van gebruik, al dan niet indirect en onbewust door organisaties. Het NCSC stelt: "OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen." Het dringende advies is dan ook om in kaart te brengen welke software binnen organisaties gebruik maakt van OpenSSL. "Bereid uw organisatie voor om relevante software direct te patchen zodra updates beschikbaar zijn."

Datalekkage, sleutelmisbruik, RCE

Terwijl het OpenSSL-team vooraf geen details vrijgeeft, duidt de inschaling op 'kritiek' wel op zorgwekkende misbruikmogelijkheden. In het algemeen geldt voor die categorie dat er gevaar kan zijn voor bijvoorbeeld datalekkage uit het servergeheugen, waarbij wellicht gebruikersgegevens zijn buit te maken. Een ander mogelijk gevaar is dat aanvallers op afstand privésleutels voor encryptie bij servers kunnen misbruiken. Tot slot is er de mogelijkheid dat kwaadaardige code op afstand uitgevoerd kan worden (remote code execution, RCE) op systemen waar dan een kwetsbare OpenSSL-installatie draait. Deze voorbeelden zijn niet per se - of niet allemaal - van toepassing op OpenSSL 3.0, maar misschien wel.