Beveiligingsonderzoekers hebben een nieuwe kwetsbaarheid in de OpenSSL-infrastructuur gevonden die aanvallers de ruimte zou kunnen geven om in een anders veilig communicatienetwerk te wrikken.
De kritieke fout in OpenSSL, naast de Heartbleed-kwetsbaarheid, is ontworpen om ervoor te zorgen dat computers een nep digitaal certificaat als legitiem herkennen. Zodra een nep digitaal certificaat is geaccepteerd, kunnen hackers man-in-the-middle-aanvallen uitvoeren op het netwerk, waardoor ze veilige communicatielijnen tussen particuliere gebruikers afluisteren, die dan zouden denken dat ze berichten uitwisselden in een beveiligde omgeving.
OpenSSL wordt veel gebruikt bij de implementatie van de cryptografische protocollen Secure Sockets Layer (SSL) en Transport Layer Security (TLS). De meeste webservers ter wereld gebruiken open source software.
De gedetecteerde kwetsbaarheid had iets te maken met het vermogen van OpenSSL om certificaten te verifiëren. Dat betekent dat de nauwkeurigheid van het verificatieproces is begrepen.
Hier is de uitleg van alles. Een verbindend apparaat gaat een stap verder in de certificaatuitgifteketen als het niet kan bevestigen dat een certificaat daadwerkelijk is gegarandeerd door een vertrouwde certificeringsinstantie. SSL-certificaten worden uitgegeven door de root-certificeringsinstantie aan verschillende tussenliggende CA’s en uiteindelijk via het eindgebruikerscertificaat. Als het geen vertrouwde certificeringsinstantie kan vinden, wordt een foutbericht geretourneerd, waardoor een beveiligde verbinding wordt geweigerd.
OpenSSL zal een alternatieve keten bepalen als eerdere pogingen om certificaatketens te maken mislukken. Door een fout in de implementatie van het alternatieve zoekproces voor strings ontstaat er een kwetsbaarheid. Als gevolg hiervan kunnen aanvallers de controles van niet-vertrouwde CA’s omzeilen.
Bovendien kan een aanvaller een eindgebruikercertificaat gebruiken om zichzelf te vermommen als CA en zo onwettige certificaten uitgeven die door de computer van het slachtoffer als een vertrouwd certificaat worden beschouwd.
SSL- en TLS-clientsoftware voert vaak de taak uit om een keten van certificaten te valideren. SSL- en TLS-clientsoftware kan browsers en e-mailservers bevatten, die vatbaar zijn voor de ontdekte fout als ze een editie van OpenSSL gebruiken om de certificaatketen te verifiëren die door het beveiligingslek is getroffen.
Gelukkig zijn webservers veilig voor het beveiligingslek als ze sitebezoekers niet verifiëren, of sitebezoekers in andere gevallen moeten die bezoekers wachtwoorden gebruiken.
De versies van OpenSSL die door dit beveiligingslek worden getroffen, zijn versies 1.0.2c, 1.0.2b, 1.0.1n en 1.0.1o. Gebruikers van versies 1.0.2b en 1.0.2c moeten upgraden naar 1.0.2d, terwijl gebruikers van versies 1.0.1n en 1.0.1o moeten upgraden naar 1.0.1p.
