Aktuelles, Branche - geschrieben von dp am Mittwoch, November 2, 2022 16:26 - noch keine Kommentare
Patch verfügbar: OpenSSL-Schwachstellen nicht mehr kritisch
Patchen der OpenSSL-Schwachstellen CVE-2022-3786 und CVE-2022-3602: X.509 nur der Anfang
[datensicherheit.de, 02.11.2022] „Die Katze ist aus dem Sack“, so Kevin Bocek, „VP of Security Strategy & Threat Intelligence“ bei Venafi, in seinem aktuellen Kommentar: Der Patch sei verfügbar und anstatt einer kritischen Schwachstelle habe es zwei gegeben – welche allerdings nur noch „hoch“ und nicht mehr „kritisch“ bewertet würden. Doch für IT-Abteilungen heiße es dennoch, diese Schwachstellen zu beheben, denn das Patchen dieser „OpenSSL“-Schwachstellen mit den Bezeichnungen „CVE-2022-3786“ und „CVE-2022-3602: X.509“ sei nur der Anfang. Vielmehr zeigten diese wieder einmal auf, „wie unsicher Maschinenidentitäten sein können, wenn sich Bedrohungsakteure ihrer bemächtigen und sich als vertrauenswürdige Dienste ausgeben“. Bocek führt aus: „Egal, ob ein Unternehmen in der Cloud in Azure arbeitet, Kubernetes in Amazon AWS nutzt oder Apache in einem Rechenzentrum verwendet, das gesamte digitale Geschäft erfordert eine sichere Authentifizierung von Maschinenidentitäten.“ Die Schwachstellen in „OpenSSL“ zeigten, welche Auswirkungen ein mangelhaftes Management von Maschinenidentitäten – insbesondere die Authentifizierung von Maschinenidentitäten – habe und damit „Angreifern Tür und Tor öffnet“.
Kevin Bocek: „Heartbleed“ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss – jetzt und in Zukunft!
OpenSSL-Schwachstellen zeigen: Mangel an Transparenz komplexer Cloud-Umgebungen lässt Unternehmen gefährlich offen für Angriffe
Der derzeitige Mangel an Transparenz komplexer „Cloud“-Umgebungen lasse Unternehmen gefährlich offen für Angriffe. Die „Cloud“ sei eine unerschlossene Angriffsfläche für Bedrohungsakteure und es lasse sich vermuten, dass es in den nächsten Monaten noch viel mehr Angriffe auf native „Cloud“-Umgebungen geben werde.
Bocek warnt: „Sowohl auf Seiten der Bedrohungsakteure als auch auf Seiten der Sicherheitsbehörden gibt es eine Wissenslücke, so dass die Auswirkungen auf die Sicherheit, die möglichen Angriffe und die Schwachstellen, die sie aufdecken könnten, noch nicht wirklich verstanden werden.“ Je besser Unternehmen diese komplexen Umgebungen verstehen, desto mehr kritische Schwachstellen und folgenschwere Angriffe würden aufgedeckt werden.
Wie bei Heartbleed müssen Unternehmen auch die von der OpenSSL-Schwachstelle betroffenen Maschinenidentitäten ersetzen
Jetzt, da die Sicherheitslücken bekannt geworden sind, sei es wahrscheinlich, dass Bedrohungsakteure bereits versuchten, diese auszunutzen. „Um sich zu schützen, müssen Unternehmen die Priorität auf Patches legen, und zwar schnell. Aber wie bei ,Heartbleed’ müssen Unternehmen auch die von der ,OpenSSL’-Schwachstelle betroffenen Maschinenidentitäten ersetzen.“
Unternehmen könnten nur dann erfolgreich sein, „wenn die vier Aufgaben des Maschinenidentitätsmanagements – Authentifizierung, Autorisierung, Lifecycle und Governance – korrekt funktionieren“. Abschließend unterstreicht Bocek: „,Heartbleed’ hat gezeigt, dass die Branche auf diese Ereignisse vorbereitet sein muss, jetzt und in Zukunft.“
Weitere Informationen zum Thema:
OpenSSL Blog, 01.11.2022
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
datensicherheit.de, 31.10.2022
OpenSSL: Kritische Sicherheitslücke weckt Erinnerungen an Heartbleed / Der Angriffsvektor ist durch Virtualisierung viel größer geworden
Aktuelles, Experten - Sep 17, 2024 15:39 - noch keine Kommentare
GI-Arbeitskreis fordert stärkere Kontrollen nach Softwarefehler bei Landtagswahlen 2024 in Sachsen
weitere Beiträge in Experten
- eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
Aktuelles, Branche - Sep 19, 2024 0:55 - noch keine Kommentare
Cyber-Sicherheitsbedürfnisse zusätzlich in Effizienzgewinne umwandeln
weitere Beiträge in Branche
- NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf
- Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich
- SANS Institute gibt eBook zur Cloud-Sicherheit heraus
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren