NÚKIB upozorňuje na zranitelnosti knihovny OpenSSL ve verzi 3 a zvýšené riziko DDoS útoků

Zranitelnosti knihovny OpenSSL ve verzi 3
V úterý 1. listopadu 2022 byla vývojáři vydaná knihovna OpenSSL ve verzi 3.0.7, která opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.
Obě zranitelnosti byly způsobeny chybnou konverzí e-mailové adresy nacházející se v X.509 certifikátech a týkají se využití knihovny jak na straně serveru, tak na straně klienta. Potenciální útočník tak může pomocí speciálně vytvořeného certifikátu způsobit pád aplikace, a tím odepření služby, ve specifických situacích i vzdálené spuštění kódu.
Původně vývojáři oznámili, že závažnost těchto zranitelností bude označena jako kritická. Díky moderním mitigačním technikám použitým v nových operačních systémech je ale zneužití těchto zranitelností ke vzdálenému spuštění kódu obtížné až nemožné. Zranitelnost byla do kódu začleněna až ve verzi 3.0.0 vydané v roce 2021, a proto se dá předpokládat, že je využívána primárně na operačních systémech, u kterých jsou tyto mitigační techniky aktivní.
Více informací zde.
Zvýšené riziko DDoS útoků
NÚKIB upozorňuje na zvýšené riziko DDoS útoků proti České republice a tuzemským subjektům. V posledním měsíci, mj. v kontextu geopolitické situace ve východní Evropě, eviduje v České republice výrazný nárůst počtu útoků tohoto typu.
Byť mají DDoS útoky obvykle spíše krátkodobý dopad, a to především na fungování webů či služeb na ně navázaných, doporučuje NÚKIB ostražitost a implementaci opatření zmíněných v příloze. Zároveň upozorňuje, že z důvodu DDoS útoků může dojít k dočasným výpadkům systémů, a to včetně kritických služeb (např. portály veřejné správy).
Více informací naleznete na tomto odkazu.
Zdroj: nukib.cz; JM