Patch verfügbar: OpenSSL-Schwachstellen nicht mehr kritisch

Patchen der OpenSSL-Schwachstellen CVE-2022-3786 und CVE-2022-3602: X.509 nur der Anfang

[datensicherheit.de, 02.11.2022] „Die Katze ist aus dem Sack“, so Kevin Bocek, „VP of Security Strategy & Threat Intelligence“ bei Venafi, in seinem aktuellen Kommentar: Der Patch sei verfügbar und anstatt einer kritischen Schwachstelle habe es zwei gegeben – welche allerdings nur noch „hoch“ und nicht mehr „kritisch“ bewertet würden. Doch für IT-Abteilungen heiße es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser „OpenSSL“-Schwachstellen mit den Bezeichnungen „CVE-2022-3786“ und „CVE-2022-3602: X.509“ sei nur der Anfang. Vielmehr zeigten diese wieder einmal auf, „wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben“. Bocek führt aus: „Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten.“ Die Schwachstellen in „OpenSSL“ zeigten, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten – insbesondere die Authentifizierung von Maschinenidentitäten – habe und damit „Angreifern Tür und Tor öffnet“.

Foto: Venafi

Kevin Bocek: „Heartbleed“ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss – jetzt und in Zukunft!

OpenSSL-Schwachstellen zeigen: Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe

Der derzeitige Mangel an Transparenz komplexer „Cloud“-Umgebungen lasse Unternehmen gefährlich offen für Angriffe. Die „Cloud“ sei eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lasse sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native „Cloud“-Umgebungen geben werde.

Bocek warnt: „Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden.“ Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe würden aufgedeckt werden.

Wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen

Jetzt, da die Sicherheitslücken bekannt geworden sind, sei es wahrscheinlich, dass Bedrohungsakteure bereits versuchten, diese auszunutzen. „Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei ,Heartbleed’ müssen Unternehmen auch die von der ,OpenSSL’-Schwachstelle betroffenen Maschinenidentitäten ersetzen.“

Unternehmen könnten nur dann erfolgreich sein, „wenn die vier Aufgaben des Maschinenidentitätsmanagements – Authentifizierung, Autorisierung, Lifecycle und Governance – korrekt funktionieren“. Abschließend unterstreicht Bocek: „,Heartbleed’ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.“

Weitere Informationen zum Thema:

OpenSSL Blog, 01.11.2022
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows

datensicherheit.de, 31.10.2022
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed / Der Angriffsvektor ist durch Virtualisierung viel größer geworden