Inhoudsopgave
Op 1 november kwam OpenSSL naar buiten met een patch voor een kritieke kwetsbaarheid (officiële naam van deze kwetsbaarheid is ‘CVE-2022-3602’). OpenSSL is software die veilig internetten mogelijk maakt. Je herkent het onder andere aan het slotje links van de URL in je browser. Ook VPN’s maken vaak van deze versleuteling gebruik.
Kortgezegd maakt de kwetsbaarheid het mogelijk voor hackers om een RCE (Remote Code Execution) uit te voeren.
Risico afgeschaald
In eerste instantie werd de kwetsbaarheid ingeschaald als ‘Critical’. Inmiddels is bekend geworden dat de status is afgeschaald naar ‘High’. De reden hiervoor is dat na testrondes blijkt dat RCE in veel gevallen toch niet mogelijk is en dat veel systemen gebruik maken van een beveiliging tegen de aanval die dankzij de kwetsbaarheid zou kunnen worden uitgevoerd. Ondanks de afschaling moet de kwetsbaarheid serieus worden genomen en adviseert OpenSSL iedereen die gebruik maakt van versie 3.0.X om te upgraden naar versie 3.0.7.
Impact
De kwetsbaarheid heeft geen invloed op versies lager dan 3.0. Het is niet bekend hoeveel systemen uiteindelijk zijn aangevallen naar aanleiding van dit veiligheidslek. Weet je niet zeker of jouw software up-to-date is? Wij kunnen snel bepalen of je je zorgen moet maken over de OpenSSL-kwetsbaarheid en je helpen deze op te lossen.