Gefährliche OpenSSL Sicherheitslücke 

B2B Cyber Security ShortNews

Beitrag teilen

Weltweite OpenSSL-Software für Datenverschlüsselung ist dringend zu aktualisieren. Der Bedrohungsgrad der Sicherheitslücke gilt als „Hoch“. Transportverschlüsselung auf TLS-Basis ist somit gefährdet. Server, Clients und IoT-Infrastrukturen sollten gepatcht werden. Auch das BSI warnt.

Eine neue bedrohliche Sicherheitslücke gefährdet weltweit alle Systeme, die OpenSSL, eine der meistverwendeten Softwares für Verschlüsselung aller Art, zur Transportverschlüsselung auf TLS-Basis einsetzen. Bei der Verarbeitung von bestimmten TLS-Zertifikaten können gezielte Attacken Clients und Server zum vollständigen Stillstand bringen (DoS -Denial of Service). „Server, Clients und sonstige Geräte müssen sofort geprüft und nötigenfalls gepatcht werden. Da diese Software sehr verbreitet ist, ist die Mehrheit aller IT-Systeme – vom Server über Clients bis hin zum Internet der Dinge – betroffen. Wenn Hacker diese Lücke gezielt attackieren, kann es für Unternehmen und Institutionen sehr kritisch werden“, warnt Jan Wendenburg, CEO von IoT Inspector. Das Security-Unternehmen betreibt die führende europäische Plattform zur automatisierten Überprüfung von IoT-Firmware. Die jüngst bekannt gewordene Schwachstelle kann so auch in IoT- und IIoT-Geräten und -Infrastruktur, bzw. in deren Software gezielt aufgedeckt und so behoben werden.

Anzeige

Bedrohungsgrad: Hoch

In jüngster Vergangenheit deckte das Team von IoT Inspector zahlreiche Schwachstellen bei bekannten Hardwareherstellern auf. „Wir haben erlebt, dass nach der Veröffentlichung eines technischen Advisories Hacker gezielt begonnen haben, die adressierte Sicherheitslücke zu attackieren. Daher sollten Administratoren sofort prüfen, ob das Problem in ihren Netzwerken vorliegt“, sagt Jan Wendenburg von IoT Inspector. Die Sicherheitslücke (CVE-2022-0778) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Entdeckt wurde sie von Tavis Ormandy, einem britischen White-Hat-Hacker, der aktuell bei Google als Teil des Project-Zero-Teams arbeitet. Betroffen von der Schwachstelle sind die OpenSSL-Versionen 1.0.2, 1.1.1 und 3.0. Administratoren, die OpenSSL einsetzen, sollten zeitnah eine der abgesicherten Ausgaben 1.1.1n oder 3.0.2 installieren.

Unberechenbare Situation

Schnelle Reaktionen sind vor allem vor dem Hintergrund internationaler Cyberattacken aufgrund des Ukrainekrieges angebracht, rät das Spezialistenteam von IoT Inspector: „Kritische Infrastrukturen, aber auch Unternehmen, sind aktuell gefährdeter denn je. Der aufgedeckte Einsatz europäischer Technologie in russischem Kriegsgerät zeigt, wie schnell Unternehmen heute im Kreuzfeuer stehen und eventuell in einen Feldzug von Anonymous-Hackern gezogen werden könnten. Die Situation ist unberechenbar“, erklärt Wendenburg. Erst vor wenigen Tagen warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits zum dritten Mal vor kriegsbedingten Attacken auf IT-Infrastrukturen. Dabei kann jede Komponente eines Netzwerkes als Einfallstor genutzt werden, sofern die Sicherheitslücken nicht durch gezielte Analysen identifiziert und anschließend behoben werden. IoT Inspector bietet nach den Warnungen des BSI weiterhin einen kostenlosen Sicherheitscheck für IoT/IIoT Endpoints aller Art in KRITIS-Infrastrukturen an, um die europäische Sicherheitsarchitektur bestmöglich zu schützen. Ein Firmware-Check dauert nur wenige Minuten und analysiert die relevanten Risiken.

Mehr bei IoT-Inspector.com

 


Über IoT Inspector

IoT Inspector ist die führende europäische IoT Security Analyseplattform und ermöglicht mit wenigen Mausklicks eine automatisierte Firmware-Prüfung von IoT-Devices auf kritische Sicherheitslücken. Der integrierte Compliance Checker deckt gleichzeitig Verletzungen internationaler Compliance-Vorgaben auf. Schwachstellen für Angriffe von außen und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können gezielt behoben werden. Die einfach per Web-Interface zu bedienende Lösung deckt für Hersteller und Inverkehrbringer von IoT-Technologie unbekannte Sicherheitsrisiken auf.


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen