Akamai ontdekt belangrijke security bug in OpenSSL

Abonneer je gratis op Techzine!

Onderzoekers van content delivery- en securityspecialist Akamai hebben in de laatste versies van OpenSSL een belangrijke bug ontdekt. Inmiddels heeft OpenSSL deze kwetsbaarheid gepatchd.

OpenSSL is de meest gebruikte standaard voor het versleutelen van websites en email. De standaard levert de cryptografische functionaliteit voor het Transport Layer Security (TLS)-protocol, de opvolger van het Secure Socket Layer (SSL)-protocol. TLS versleutelt de data die zich tussen internetservers en de uiteindelijke eindgebruikers beweegt. OpenSSL zorgt ervoor helpt de versleutelingstijd te bekorten en zorgt ervoor dat er geen programmeerfouten ontstaan in applicaties die complexe encryptie gebruiken.

Nieuwe kwetsbaarheid

Onlangs ontdekten de onderzoekers van Akamai ontdekte in de laatste versie van OpenSSL een zeer gevaarlijke kwetsbaarheid, waaraan de code CVE-2021-3449 is meegegeven, die het hackers mogelijk maakte grote hoeveelheden servers neer te halen. Servers crashen wanneer zij kwaadaardige verzoeken ontvangen van niet-geauthenticeerde servers. Vooral OpenSSL versie 1.1.1h en hoger zijn kwetsbaar voor de bug die de status van ‘hoog risico’ heeft gekregen. OpenSSL 1.0.2 is niet kwetsbaar.

Hackers kunnen deze kwetsbaarheid gebruiken door een kwaadaardig ClientHello-toegangsverzoek tijdens het eerste belangrijke contact tussen servers naar een OpenSSl TLS-server te sturen. Dit eerste contact moet een veilige verbinding opzetten tussen een eindgebruiker en een server.

Het kwaadaardige verzoek heeft de ‘signature_algorithms extension’, die wel in een normaal ClientHello-verzoek aanwezig is, weggelaten. Wel beschikt het kwaadaardige toegangsverzoek over een ‘signature_algorithms_cert extension’. Dit leidt tot een zogenoemde ‘NULL pointer dereference‘ en zo tot een crash van de server en een DNS-aanval.

Andere kwetsbaarheid

Naast deze kwetsbaarheid kwam ook nog een andere kwetsbaarheid aan het licht, vooral voor edge-gevallen. Bug CVE-2021-3450 maakte het voor applicaties onmogelijk TLS-certificaten die niet digitaal door een vertrouwde certificeringsinstantie zijn ondertekend, te ontdekken en te weigeren.

Alle kwetsbaarheden zijn inmiddels door OpenSSL gepatcht. Wel roept OpenSSL op iedereen die een kwetsbare versie heeft zo snel mogelijk up te graden naar versie OpenSSL1.1.1k.

Tip: ‘Cybercriminelen maken vooral gebruik van bekende kwetsbaarheden’