29.4 C
Athens
Παρασκευή, 11 Ιουλίου, 2025

Check Point: Η ομάδα διαχείρισης του OpenSSL προειδοποιεί με την αποκάλυψη μιας κρίσιμης ευπάθειας

Η Check Point προειδοποιεί κάθε οργανισμό πως πρέπει να ξεκινήσει τις προετοιμασίες από τώρα

Πρόσφατα ανακάλυψαν ευπάθεια στο OpenSSL, της εφαρμογής που καθιστά δυνατή την χρήση του πρωτοκόλλου ασφαλείας TLS (από το Transport Layer Security) σε Linux, Unix, Windows και πολλά άλλα λειτουργικά συστήματα.

Το OpenSSL, το βασικότερο στοιχείο για ασφαλές διαδίκτυο, ανακοίνωσε την επιδιόρθωση μιας κρίσιμης σοβαρότητας ευπάθειας ασφαλείας.

 Αν και οι λεπτομέρειες δεν έχουν ακόμη κοινοποιηθεί, οι οργανισμοί καλούνται να παραμείνουν σε εγρήγορση και να προετοιμαστούν για την επιδιόρθωση και ενημέρωση των συστημάτων την ερχόμενη Τρίτη, 1η Νοεμβρίου.

Επειδή το OpenSSL χρησιμοποιείται πάρα πολύ, το ενδεχόμενο εύρος αυτής της ευπάθειας είναι τεράστιο, εξ ου και η επείγουσα ανάγκη επιδιόρθωσης και ενημέρωσης των συστημάτων. Οι ερευνητές της Check Point παρακολουθούν στενά την εξέλιξη της ιστορίας αυτής και θα ενημερώσουν για νέες προστασίες μόλις γίνουν διαθέσιμες οι όποιες λεπτομέρειες.

Ιστορικό

Σε μια επίσημη δήλωση την περασμένη Τρίτη, η ομάδα διαχείρισης του OpenSSL ανακοίνωσε την επικείμενη κυκλοφορία της επόμενης έκδοσής του, η οποία θα κυκλοφορήσει την Τρίτη 1 Νοεμβρίου 2022 μεταξύ 1300-1700 UTC. Αυτή η έκδοση αναμένεται να περιλαμβάνει διόρθωση για μια ΚΡΙΣΙΜΗ ευπάθεια ασφαλείας.

Το OpenSSL ορίζει μια κρίσιμη ευπάθεια ως εξής:

“CRITICAL Severity. Αυτή επηρεάζει κοινές διαμορφώσεις, οι οποίες είναι επίσης πιθανό να είναι εκμεταλλεύσιμες…”.

Ενώ οι ακριβείς λεπτομέρειες της ευπάθειας είναι ακόμη άγνωστες σε αυτό το σημείο, καλούμε τους οργανισμούς να παραμείνουν σε εγρήγορση προς την έκδοση- και να διατηρούν τόσο τα συστήματά τους όσο και όλες τις προστασίες ενημερωμένες, μέχρι να αποκαλυφθούν περαιτέρω λεπτομέρειες.

Ποιες εκδόσεις του OpenSSL είναι ευάλωτες;

Οι εκδόσεις OpenSSL 3.0 και άνω είναι αυτές που αναφέρονται ως ευάλωτες. Η έκδοση 3.0.7 του OpenSSL αναμένεται να είναι η επόμενη έκδοση και θα πρέπει να περιλαμβάνει τη διόρθωση της κρίσιμης ευπάθειας.

Τι είναι το OpenSSL;

Το OpenSSL είναι μια ευρέως χρησιμοποιούμενη βιβλιοθήκη κώδικα που έχει σχεδιαστεί για να επιτρέπει την ασφαλή επικοινωνία μέσω του διαδικτύου. Με απλά λόγια, κάθε φορά που περιηγούμαστε στο διαδίκτυο, ο ιστότοπος στον οποίο περιηγούμαστε ή η διαδικτυακή υπηρεσία στην οποία έχουμε πρόσβαση χρησιμοποιεί το OpenSSL σε πολύ βασικό επίπεδο.

Πράγμα που σημαίνει ότι την Τρίτη το πρωί θα πρέπει όλοι να είμαστε σε μεγάλη εγρήγορση για το τι θα κυκλοφορήσει η ομάδα του έργου OpenSSL. Αναμένεται να αγγίξει ευρείες πτυχές της κοινής μας χρήσης του διαδικτύου.

Ποιος μπορεί να είναι ο κίνδυνος;

Αν και θα πρέπει να περιμένουμε μέχρι την 1η Νοεμβρίου για να μάθουμε λεπτομέρειες σχετικά με το τι ακριβώς αφορά η ευπάθεια, μπορεί να περιλαμβάνει την αποκάλυψη πληροφοριών ιδιωτικών κλειδιών ή πληροφοριών χρηστών.

Σε κάθε περίπτωση, θα υπονομεύσει τα ίδια τα θεμέλια των κρυπτογραφημένων συνεδριών που όλοι απολαμβάνουμε με τόσες πολλές υπηρεσίες σήμερα. Καθώς είναι τόσο συχνό, αυτό μπορεί να σημαίνει ένα μαζικό γεγονός.

Τι μπορώ να κάνω μέχρι να αποκαλυφθούν περισσότερες λεπτομέρειες;

Οι οργανισμοί θα πρέπει να παραμείνουν σε εγρήγορση και να χρησιμοποιούν τις βέλτιστες πρακτικές της ασφάλειας, όπως η επιδιόρθωση και η ενημέρωση όλων των συστημάτων στο πιο πρόσφατο λειτουργικό σύστημα και η προετοιμασία για την ενημέρωση των IPS μόλις αυτά γίνουν διαθέσιμα.

Συνιστούμε επίσης να κατανοήσουν με λεπτομέρειες πού χρησιμοποιείται το OpenSSL εντός του οργανισμού και αυτό μπορεί να γίνει με το Software Bill of Materials (SBOM), το οποίο παρέχει έναν λεπτομερή κατάλογο των συστατικών στοιχείων λογισμικού της εταιρείας.

Με αυτόν τον τρόπο θα καταστεί δυνατή η ιεράρχηση των κρίσιμων περιοχών και η προετοιμασία για το αναμενόμενο patch. Η ομάδα  της Check Point παρακολουθεί  στενά αυτή την ιστορία και θα αναφέρουμε την εξέλιξη μόλις γίνει διαθέσιμη

H τεχνολογική κοινότητα του διαδικτύου σε συναγερμό

Ο Lotem Finkelstein, Threat Intelligence and Research Area Director στην Check Point σχολίασε σχετικά:

Η πρόσφατη ανακοίνωση από το πρόγραμμα OpenSSL ότι η επερχόμενη έκδοση της 1ης Νοεμβρίου θα περιλάμβανε διόρθωση για μια κρίσιμη ευπάθεια, έθεσε την τεχνολογική κοινότητα του διαδικτύου σε συναγερμό. Η κρίσιμη ευπάθεια στο OpenSSL, έχει τη δυνατότητα να κλονίσει τα θεμέλια του κρυπτογραφημένου διαδικτύου και την ιδιωτικότητα όλων μας.

Πρόκειται πράγματι για μια πολύ σημαντική εξέλιξη. Ενώ θα πρέπει να περιμένουμε και να διαβάσουμε τι έχει να μοιραστεί η ομάδα OpenSSL την Τρίτη, θα θέλαμε να παροτρύνουμε όλους τους οργανισμούς να βελτιώσουν την εποπτεία τους στις διάφορες εφαρμογές και υπηρεσίες ιστού που χρησιμοποιούν ή παρέχουν και στην έκδοση OpenSSL που εκτελούν.

Αυτό δεν είναι εύκολη υπόθεση, αλλά την Τρίτη θα πρέπει να βεβαιωθούμε ότι είμαστε εξοικειωμένοι με τα αδύνατα σημεία των συστημάτων μας και να δράσουμε για να αποτρέψουμε τις επερχόμενες επιθέσεις.

Κοινοποιηση αρθρου

Τελευταια Νεα

Η Star Alliance βραβεύτηκε ως η Καλύτερη Αεροπορική Συμμαχία στον Κόσμο στα Skytrax Awards 2025

Στις 17 Ιουνίου 2025, η Star Alliance αναδείχθηκε για τέταρτη συνεχόμενη χρονιά ως η «Καλύτερη Αεροπορική Συμμαχία στον Κόσμο» στα βραβεία Skytrax World Airline...

Samsung Galaxy Z Fold7 και Galaxy Ζ Flip7: Ξεκίνησαν οι προ-παραγγελίες σε COSMOTE TELEKOM και ΓΕΡΜΑΝΟ

Τα νέα αναδιπλούμενα Smartphones SAMSUNG Galaxy Z Fold7 και Galaxy Ζ Flip7 και η νέα σειρά Galaxy Watch8 έρχονται στις 25 Ιουλίου στην COSMOTE...

H Ανδρέας Νίκας Α.Ε. με King-Long στο Δήμο Αμαρουσίου

Η Ανδρέας Νίκας, πρωτοπόρος εταιρεία στον τομέα των αστικών συγκοινωνιών στην Ελλάδα, και αποκλειστικός συνεργάτης της αναγνωρισμένης King-Long Motors, στην Ελλάδα, ενίσχυσαν τον στόλο...

Απλά Ψηφιακά 178: Οι επόμενες κινήσεις της Vodafone, οι εξαγορές στην πληροφορική και η άμυνα

Τα νέα της εγχώριας τεχνολογικής επιχειρηματικής σκηνή συζήτησαν ο Δημήτρης Μαλλάς και η Νίκη Παπάζογλου σε αυτό το επεισόδιο του Απλά Ψηφιακά, που εκτάκτως...

7 στις 10 βιομηχανικές εταιρείες «μπαλώνουν» ευπάθειες μόνο όταν είναι αργά

Της Νατάσας Φραγκούλη Μόλις 1 στις 4 βιομηχανικές επιχειρήσεις πραγματοποιεί συστηματικούς ελέγχους ασφαλείας κάθε μήνα, ενώ 7 στις 10 περιορίζονται σε αποσπασματικές παρεμβάσεις μόνο όταν...