“Groot aantal OpenSSL-installaties niet meer ondersteund met updates”

“Groot aantal OpenSSL-installaties niet meer ondersteund met updates”

Deze week kreeg een kwetsbaarheid in OpenSSL 3.0 veel aandacht, maar een veel groter probleem is het gebruik van OpenSSL-versies die niet meer met beveiligingsupdates worden ondersteund, zo stelt securitybedrijf Qualys op basis van eigen onderzoek.

OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde.

Het OpenSSL-ontwikkelteam had vorige week aangekondigd dat er een kritieke kwetsbaarheid in OpenSSL 3.0 aanwezig was. De impactbeoordeling werd echter afgeschaald naar een “hoge” impact, zo bleek afgelopen dinsdag bij het uitkomen van de update. Op dit moment zijn er twee versies van OpenSSL die worden ondersteund, namelijk versie 1.1.1 en 3.0.

Securitybedrijf Censys meldde eerder al dat OpenSSL 3.0 weinig wordt gebruikt. Zo trof het bedrijf via een scan slechts zevenduizend servers met deze OpenSSL-versie aan. Qualys besloot bij de eigen klanten te kijken en ontdekte 15.000 organisaties die van OpenSSL gebruikmaken. Tien procent werkt binnen hun eigen omgeving met een kwetsbare OpenSSL 3.0-versie. Qualys besloot ook een serverscan uit te voeren op internet en detecteerde 14 miljoen servers. Slechts 13.000 daarvan draaiden OpenSSL 3.0.

Wat volgens het securitybedrijf een veel grotere zorg is, is het gebruik van OpenSSL-versies die end-of-life of end-of-support zijn. 82 procent van de OpenSSL-installaties die Qualys detecteerde ontvangt geen beveiligingsupdates meer. Sinds 2002 zijn in de verschillende OpenSSL-versies meer dan tweehonderd kwetsbaarheden aangetroffen. Hoewel het aantal werkbare exploits beperkt is, wordt organisaties aangeraden naar een wel ondersteunde versie te updaten.

Image

Bron: https://www.security.nl/posting/773498/%22Groot+aantal+OpenSSL-installaties+niet+meer+ondersteund+met+updates%22?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.