Kwetsbaarheden in OpenSSL
Op het internet is een Proof of Concept verschenen waarmee OpenSSL kan worden misbruikt. Het NCSC heeft daarom de inschaling van het beveiligingsadvies over de kwetsbaarheden in OpenSSL die gisteren bekend zijn gemaakt, verhoogd naar high/high: de kans op misbruik op korte termijn en de potentiële schade zijn groot. Dit kan bijvoorbeeld consequenties hebben voor de beschikbaarheid van websites.
Wat is OpenSSL?
OpenSSL is software die gebruikt wordt als hulpmiddel in applicaties om communicatie te versleutelen. Zo’n hulpmiddel voorkomt dat iedere applicatie-ontwikkelaar opnieuw software voor communicatie-versleuteling moet schrijven. Een nadeel is dat als zo’n hulpmiddel een kwetsbaarheid bevat, alle applicaties die dat hulpmiddel gebruiken een probleem hebben. Aangezien OpenSSL een veel gebruikt hulpmiddel is voor communicatie-versleuteling, is dit nu het geval. Omdat veel software die gebruik maakt van OpenSSL aan het internet hangt, maakt dat het probleem extra groot.
Op de site van het Digital Trust Center staat wat u kunt doen als u zelf niet direct inzicht heeft in de technische aard van de software OpenSSL en de specifieke situatie waarin misbruik kan worden gemaakt van deze kwetsbaarheid
Wat houden de kwetsbaarheden in?
Het gaat om een kwetsbaarheid in de implementatie van TLS renegotiation (CVE-2021-3449), die misbruikt kan worden voor een server crash (Denial of Service), en een kwetsbaarheid in de afhandeling van de X509_V_FLAG_X509_STRICT vlag (CVE-2021-3450), die een Man in the Middle-aanval mogelijk maakt. Met de Proof of Concept kan de CVE-2021-3449 kwetsbaarheid worden misbruikt.
Bij CVE-2021-3449 gaat het om een probleem met de server, in het ergste geval raakt dit de beschikbaarheid van de betreffende functionaliteit. CVE-2021-3450 is een probleem bij de cliënt en vereist voor misbruik (Man in the Middle) actief ingrijpen op het lokale netwerkverkeer. De aanvaller kan hierdoor informatie inzien en wijzigen. De aanval is voor de cliënt niet merkbaar.
Uit onderzoek is gebleken dat CVE-2021-3449 gemitigeerd kan worden door secure renegotiation uit te schakelen. Dit heeft echter als negatief gevolg dat 'insecure renegotiation' daarmee als enige variant overblijft. Het NCSC raadt het gebruik van insecure renegotiation af, zoals beschreven in onze ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS). Voor CVE-2021-3450 zijn bij ons op dit moment geen mitigerende maatregelen bekend, anders dan het installeren van de patch.
Het NCSC heeft geconstateerd dat, na het installeren van de update, in sommige gevallen een server herstart nodig is om de kwetsbaarheden volledig te verhelpen.