OpenSSL-Schwachstellen: Patch verfügbar, aber nicht mehr kritisch
November 2022 von Kevin Bocek, VP of Security Strategy & Threat Intelligence, Venafi
Die Katze ist aus dem Sack. Der Patch ist verfügbar und anstatt einer kritischen Schwachstelle, gab es zwei, die allerdings nur noch „hoch“ und nicht mehr „kritisch“ sind. Doch für IT-Abteilungen heißt es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser OpenSSL-Schwachstellen mit den Bezeichnungen CVE-2022-3786 and CVE-2022-3602: X.509 ist nur der Anfang.
Vielmehr zeigen sie wieder einmal auf, wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben. Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten. Die Schwachstellen in OpenSSL zeigen, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten - insbesondere die Authentifizierung von Maschinenidentitäten - hat und Angreifern Tür und Tor öffnet.
Der derzeitige Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe. Die Cloud ist eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lässt sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native Cloud-Umgebungen geben wird. Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden. Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe werden aufgedeckt.
Jetzt, da die Sicherheitslücken bekannt geworden sind, ist es wahrscheinlich, dass Bedrohungsakteure bereits versuchen, sie auszunutzen. Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen. Unternehmen können nur dann erfolgreich sein, wenn die vier Aufgaben des Maschinenidentitätsmanagements - Authentifizierung, Autorisierung, Lifecycle und Governance - korrekt funktionieren. Heartbleed hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.