Aktuelles, Branche - geschrieben von dp am Mittwoch, November 2, 2022 16:26 - noch keine Kommentare
Patch verfügbar: OpenSSL-Schwachstellen nicht mehr kritisch
Patchen der OpenSSL-Schwachstellen CVE-2022-3786 und CVE-2022-3602: X.509 nur der Anfang
[datensicherheit.de, 02.11.2022] „Die Katze ist aus dem Sack“, so Kevin Bocek, „VP of Security Strategy & Threat Intelligence“ bei Venafi, in seinem aktuellen Kommentar: Der Patch sei verfügbar und anstatt einer kritischen Schwachstelle habe es zwei gegeben – welche allerdings nur noch „hoch“ und nicht mehr „kritisch“ bewertet würden. Doch für IT-Abteilungen heiße es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser „OpenSSL“-Schwachstellen mit den Bezeichnungen „CVE-2022-3786“ und „CVE-2022-3602: X.509“ sei nur der Anfang. Vielmehr zeigten diese wieder einmal auf, „wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben“. Bocek führt aus: „Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten.“ Die Schwachstellen in „OpenSSL“ zeigten, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten – insbesondere die Authentifizierung von Maschinenidentitäten – habe und damit „Angreifern Tür und Tor öffnet“.

Foto: Venafi
Kevin Bocek: „Heartbleed“ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss – jetzt und in Zukunft!
OpenSSL-Schwachstellen zeigen: Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe
Der derzeitige Mangel an Transparenz komplexer „Cloud“-Umgebungen lasse Unternehmen gefährlich offen für Angriffe. Die „Cloud“ sei eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lasse sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native „Cloud“-Umgebungen geben werde.
Bocek warnt: „Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden.“ Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe würden aufgedeckt werden.
Wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen
Jetzt, da die Sicherheitslücken bekannt geworden sind, sei es wahrscheinlich, dass Bedrohungsakteure bereits versuchten, diese auszunutzen. „Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei ,Heartbleed’ müssen Unternehmen auch die von der ,OpenSSL’-Schwachstelle betroffenen Maschinenidentitäten ersetzen.“
Unternehmen könnten nur dann erfolgreich sein, „wenn die vier Aufgaben des Maschinenidentitätsmanagements – Authentifizierung, Autorisierung, Lifecycle und Governance – korrekt funktionieren“. Abschließend unterstreicht Bocek: „,Heartbleed’ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.“
Weitere Informationen zum Thema:
OpenSSL Blog, 01.11.2022
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
datensicherheit.de, 31.10.2022
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed / Der Angriffsvektor ist durch Virtualisierung viel größer geworden
Aktuelles, Experten, Veranstaltungen - Feb. 14, 2025 0:47 - noch keine Kommentare
Hybridveranstaltung zur Datennutzung und -sicherheit in Justiz und Verwaltung am 28. und 29. April 2025
weitere Beiträge in Experten
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
- Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen
- Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand
- Online-Marktplätze: Verbraucherzentrale Bundesverband (vzbv) fordert mehr Sorgfaltspflichten
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
Aktuelles, Branche, Studien - Feb. 14, 2025 0:37 - noch keine Kommentare
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten
weitere Beiträge in Branche
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren