Kuruluşların, 26 Ekim’deki OpenSSL Projesi’nin 3.0 ve üzeri sürümlerde “kritik” bir güvenlik açığı olarak tanımladığı, İnternet’teki iletişimleri şifrelemek için neredeyse her yerde kullanılan kriptografik kitaplığa hazırlanmak için beş günleri var.
1 Kasım Salı günü proje, teknolojinin mevcut sürümlerinde henüz açıklanmayan bir kusuru yamalayacak yeni bir OpenSSL sürümünü (sürüm 3.0.7) yayınlayacak. Güvenlik açığının özellikleri ve yararlanma kolaylığı, kuruluşların sorunu çözmek için ihtiyaç duyacağı hızı belirleyecektir.
Potansiyel Olarak Büyük Etkiler
OpenSSL’yi ürünlerine ve hizmetlerine entegre eden büyük işletim sistemi satıcıları, yazılım yayıncıları, e-posta sağlayıcıları ve teknoloji şirketleri, OpenSSL Projesi’nin önümüzdeki Salı günü açıklayacağı açıkla birlikte, muhtemelen teknolojilerinin sürümlerini güncelleme zamanına sahip olacaklardır. Ancak bu, federal kurumlar, özel şirketler, hizmet sağlayıcılar, ağ cihazı üreticileri ve sayısız web sitesi operatörü dahil olmak üzere potansiyel olarak milyonlarca kişiyi tehdit aktörleri onu istismar etmeye başlamadan önce güvenlik açığını bulmak ve düzeltmek için yaklaşmakta olan bir son tarihe bırakacaktır.
Yeni güvenlik açığı başka bir Heartbleed hatası – OpenSSL’yi etkileyecek son kritik güvenlik açığı – olduğu ortaya çıkarsa, kuruluşlar ve aslında tüm endüstri, sorunu olabildiğince çabuk çözmek için silah altında olacaktır.
2014’te açıklanan Heartbleed güvenlik açığı (CVE-2014-0160), temelde saldırganlara İnternet iletişimine kulak misafiri olmak, verileri çalmak
hizmetlerden ve kullanıcılardan, hizmetleri taklit etmeye ve tüm bunları, herhangi birini yaptıklarına dair çok az iz bırakarak yapın. Hata, Mart 2012’den itibaren OpenSSL sürümlerinde mevcuttu ve Nginx, Apache ve IIS gibi yaygın olarak kullanılan Web sunucuları dahil olmak üzere baş döndürücü bir dizi teknolojiyi etkiledi; Google, Akamai, CloudFlare ve Facebook gibi kuruluşlar; e-posta ve sohbet sunucuları; Cisco gibi şirketlerden ağ cihazları; ve VPN’ler.
Hatanın ifşa edilmesi, endüstri genelinde çılgınca bir iyileştirme faaliyetini tetikledi ve büyük uzlaşma endişelerine yol açtı. Synopsys’in Heartbleed.com sitesinin belirttiği gibi, Apache ve Nginx, Heartbleed’in ifşa edildiği sırada İnternet’teki aktif sitelerin %66’sından fazlasının pazar payını tek başına oluşturuyordu.
En azından Salı gününe kadar, yeni kusurun Heartbleed gibi bir şey olup olmayacağını söylemek yok. Ancak güvenlik uzmanları bu hafta, İnternet genelinde şifreleme için OpenSSL’nin neredeyse kritik altyapı benzeri kullanımı göz önüne alındığında, kuruluşların tehdidi hafife almasalar iyi olacaklarını söyledi.
Güvenlik Örgütleri Etkiye Hazırlanmalı
SANS Enstitüsü araştırma dekanı Johannes Ullrich, “Etkisi hakkında tahminde bulunmak biraz zor, ancak geçmiş deneyimler OpenSSL’nin ‘kritik’ etiketini hafifçe kullanmadığını gösterdi” diyor.
OpenSSL’nin kendisi kritik bir kusuru şu şekilde tanımlar: sunucu belleği içeriğinin önemli ölçüde ifşa edilmesini sağlar ve olası kullanıcı ayrıntıları, sunucu özel anahtarlarını tehlikeye atmak için kolayca ve uzaktan kullanılabilecek güvenlik açıkları.
Ullrich, OpenSSL’nin şu anki sürümü olan Sürüm 3.0’ın Ubuntu 22.04 LTS ve MacOS Mavericks ve Ventura gibi birçok güncel işletim sisteminde kullanıldığını belirtiyor. Kuruluşlar, Salı günü OpenSSL bülteniyle aynı anda hızlı ve büyük olasılıkla Linux yamalarını almayı bekleyebilirler. Ancak Ullrich, kuruluşların hangi sistemlerin OpenSSL 3.0 kullandığını bulmaya şimdiden hazırlanmaları gerektiğini söylüyor. “Heartbleed’den sonra OpenSSL, güvenlik yamalarının bu ön duyurularını tanıttı” diyor. “Kuruluşların hazırlanmasına yardımcı olmaları gerekiyor. Bu nedenle, bu zamanı neyin yama gerektireceğini bulmak için kullanın.”
Sonatype’ın kurucu ortağı ve CTO’su Brian Fox, OpenSSL Projesi Salı günü hatayı açıklayana kadar, kuruluşların teknoloji portföylerinde herhangi bir yerde savunmasız bir sürüm kullanıp kullanmadıklarını, hangi uygulamaların bunu kullandığını ve ne kadar süreyle kullandığını belirlemeleri gerektiğini söylüyor. sorunu çözmeleri gerekecekti.
Fox, “Potansiyel erişim her zaman herhangi bir büyük kusurun en önemli parçasıdır” diyor. “Bu durumda, OpenSSL’yi güncellemeyle ilgili en büyük zorluk, bu kullanımın genellikle diğer cihazların içine gömülü olmasıdır.” Bu durumlarda, teknolojinin yukarı akış sağlayıcısına sormadan maruziyeti değerlendirmek zor olabilir, diye ekliyor.
İnternet ile güvenli bir şekilde iletişim kuran herhangi bir şey, potansiyel olarak yerleşik OpenSSL’ye sahip olabilir. Ve etkilenebilecek sadece yazılım değil, aynı zamanda donanımdır. OpenSSL Projesinin sağladığı ön bildirim, kuruluşlara hazırlanmaları için zaman tanımalıdır. Fox, “İlk adım, hangi yazılım veya aygıt parçalarını bulmaktır. Kuruluşlar bunu şimdi yapmalı ve ardından yukarı yönlü satıcılardan gelen güncellemeleri yamalama veya tedarik etme izleyecektir” diyor. “Şu anda yapabileceğiniz tek şey envanter.”
Tüm Ekosistemin Güncellenmesi Gerekebilir
Pek çok şey, içlerinde gömülü OpenSSL’nin savunmasız sürümlerine sahip ürün satıcılarının açıklamaya nasıl yanıt verdiğine de bağlı olacaktır. OpenSSL Projesi’nin yeni sürümü Salı günü yayınlaması yalnızca ilk adımdır. Netenrich’in baş tehdit avcısı John Bambinek, “OpenSSL ile oluşturulmuş tüm bir uygulama ekosisteminin de kodlarını güncellemesi, kendi güncellemelerini yayınlaması ve kuruluşların bunları uygulaması gerekecek” diyor.
İdeal olarak, Heartbleed ile ilgilenen kuruluşlar, OpenSSL kurulumlarının nerede olduğu ve hangi satıcı ürünlerinin de bir güncelleme gerektireceği konusunda bir fikre sahip olacaktır. Bambinek, “Bu nedenle yazılım malzeme listeleri önemli olabilir,” diyor. “Bu güncellemelerin de uygulandığından emin olmak için tedarikçilerinin ve satıcılarının güncelleme planlarına ulaşmak ve anlamak için bu zamanı alabilirler.” Kuruluşların hazırlıklı olması gereken olası bir konu, güncellemeleri olmayan ömrünü tamamlamış ürünlerle nasıl başa çıkılacağıdır, diye ekliyor.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, açıktan yararlanma etkinliğine dair kanıt ve ilgili uzlaşma göstergeleri olmadan, bilinen bir güncelleme yoldayken kuruluşların normal değişiklik yönetimi süreçlerini izlemelerinin en iyisi olduğunu söylüyor. “Güvenlik tarafında, yeni sürüm çıkmadan önce bir istismar ortaya çıkarsa etkilenebilecek sistemlere biraz daha fazla odaklanmaya değer” diye tavsiyede bulunuyor.
Parkin, OpenSSL Project’in duyurusunda, yükseltmede ne kadar iş yapılacağını söylemek için yeterli bilgi bulunmadığını, “ancak güncelleme sertifikaları gerektirmediği sürece, yükseltmenin muhtemelen basit olacağını” tahmin ediyor.
Ayrıca 1 Kasım’da OpenSSL projesi, “hata düzeltme sürümü” olarak tanımladığı OpenSSL sürüm 1.1.1’leri yayınlayacak. Proje, yerini aldığı Sürüm 1.1.1’in 3.0’da düzeltilen CVE’den etkilenmediğini belirtti.