Aktuelles, Branche - geschrieben von dp am Mittwoch, November 2, 2022 16:26 - noch keine Kommentare
Patch verfügbar: OpenSSL-Schwachstellen nicht mehr kritisch
Patchen der OpenSSL-Schwachstellen CVE-2022-3786 und CVE-2022-3602: X.509 nur der Anfang
[datensicherheit.de, 02.11.2022] „Die Katze ist aus dem Sack“, so Kevin Bocek, „VP of Security Strategy & Threat Intelligence“ bei Venafi, in seinem aktuellen Kommentar: Der Patch sei verfügbar und anstatt einer kritischen Schwachstelle habe es zwei gegeben – welche allerdings nur noch „hoch“ und nicht mehr „kritisch“ bewertet würden. Doch für IT-Abteilungen heiße es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser „OpenSSL“-Schwachstellen mit den Bezeichnungen „CVE-2022-3786“ und „CVE-2022-3602: X.509“ sei nur der Anfang. Vielmehr zeigten diese wieder einmal auf, „wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben“. Bocek führt aus: „Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten.“ Die Schwachstellen in „OpenSSL“ zeigten, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten – insbesondere die Authentifizierung von Maschinenidentitäten – habe und damit „Angreifern Tür und Tor öffnet“.

Foto: Venafi
Kevin Bocek: „Heartbleed“ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss – jetzt und in Zukunft!
OpenSSL-Schwachstellen zeigen: Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe
Der derzeitige Mangel an Transparenz komplexer „Cloud“-Umgebungen lasse Unternehmen gefährlich offen für Angriffe. Die „Cloud“ sei eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lasse sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native „Cloud“-Umgebungen geben werde.
Bocek warnt: „Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden.“ Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe würden aufgedeckt werden.
Wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen
Jetzt, da die Sicherheitslücken bekannt geworden sind, sei es wahrscheinlich, dass Bedrohungsakteure bereits versuchten, diese auszunutzen. „Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei ,Heartbleed’ müssen Unternehmen auch die von der ,OpenSSL’-Schwachstelle betroffenen Maschinenidentitäten ersetzen.“
Unternehmen könnten nur dann erfolgreich sein, „wenn die vier Aufgaben des Maschinenidentitätsmanagements – Authentifizierung, Autorisierung, Lifecycle und Governance – korrekt funktionieren“. Abschließend unterstreicht Bocek: „,Heartbleed’ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.“
Weitere Informationen zum Thema:
OpenSSL Blog, 01.11.2022
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
datensicherheit.de, 31.10.2022
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed / Der Angriffsvektor ist durch Virtualisierung viel größer geworden
Aktuelles, Experten - Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
weitere Beiträge in Experten
- 5 Jahre DSGVO: Professor Kelber zieht positives Fazit
- Cyber-Angriffe bewältigen: it’s.BB e.V lädt zur Awareness-Veranstaltung am 24. Mai 2023 ein
- Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen
- Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram
- EU Chips Act: Europäisches Parlament und Europäischer Rat erzielten vorläufige Einigung
Aktuelles, Branche - Mai 31, 2023 13:36 - noch keine Kommentare
5 Jahre DSGVO mahnen zum Verzicht auf löchrige Schutzschilde
weitere Beiträge in Branche
- Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung
- Android-Malware ab Werk nach Kontrollverlust in der Lieferkette
- Tipps zum Website-Check auf Datenschutzkonformität
- Avanan warnt vor Betrug per E-Mail mittels Missbrauch legitimer Dienste
- Lookout zu Textnachrichten: Die drei wichtigsten Warnhinweise
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren