Il software globale OpenSSL per la crittografia dei dati deve essere urgentemente aggiornato. Il livello di minaccia della vulnerabilità è considerato "Alto". La crittografia del trasporto basata su TLS è quindi a rischio. Server, client e infrastrutture IoT dovrebbero essere patchati. Anche il Bsi mette in guardia.
Una nuova minacciosa vulnerabilità mette in pericolo tutti i sistemi nel mondo che utilizzano OpenSSL, uno dei software più utilizzati per la crittografia di ogni tipo, per la crittografia dei trasporti basata su TLS. Durante l'elaborazione di determinati certificati TLS, gli attacchi mirati possono arrestare completamente client e server (DoS - Denial of Service). “Server, client e altri dispositivi devono essere controllati immediatamente e patchati se necessario. Poiché questo software è molto diffuso, la maggior parte di tutti i sistemi IT - dai server ai client all'Internet of Things - ne risente. Se gli hacker attaccano specificamente questa lacuna, può diventare molto critica per le aziende e le istituzioni", avverte Jan Wendenburg, CEO di IoT Inspector. La società di sicurezza gestisce la principale piattaforma europea per il controllo automatizzato del firmware IoT. La vulnerabilità divenuta recentemente nota può essere rilevata ed eliminata in modo mirato anche nei dispositivi e nelle infrastrutture IoT e IIoT o nel loro software.
Livello di minaccia: Alto
Nel recente passato, il team di IoT Inspector ha scoperto numerose vulnerabilità in noti produttori di hardware. “Abbiamo sperimentato che dopo la pubblicazione di un avviso tecnico, gli hacker hanno iniziato ad attaccare la falla di sicurezza affrontata. Pertanto, gli amministratori dovrebbero verificare immediatamente se il problema è nelle loro reti", afferma Jan Wendenburg di IoT Inspector. La vulnerabilità (CVE-2022-0778) ha un livello di minaccia alto. È stato scoperto da Tavis Ormandy, un hacker britannico dal cappello bianco che attualmente lavora presso Google come parte del team di Project Zero. Le versioni OpenSSL 1.0.2, 1.1.1 e 3.0 sono interessate dalla vulnerabilità. Gli amministratori che utilizzano OpenSSL devono installare una delle versioni sicure 1.1.1n o 3.0.2 il prima possibile.
situazione imprevedibile
Il team di specialisti di IoT Inspector avverte che reazioni rapide sono particolarmente consigliabili sullo sfondo degli attacchi informatici internazionali dovuti alla guerra in Ucraina: “Le infrastrutture critiche, ma anche le aziende, sono attualmente più a rischio che mai. L'uso scoperto della tecnologia europea nelle attrezzature belliche russe mostra quanto velocemente le aziende possano ora trovarsi intrappolate nel fuoco incrociato e possibilmente trascinate in una campagna dagli hacker anonimi. La situazione è imprevedibile", spiega Wendenburg. Solo pochi giorni fa, l'Ufficio federale per la sicurezza delle informazioni (BSI) ha avvertito per la terza volta di attacchi legati alla guerra alle infrastrutture IT. Ogni componente di una rete può essere utilizzato come gateway, a condizione che le lacune di sicurezza non vengano identificate attraverso un'analisi mirata e poi sanate. Dopo gli avvertimenti del BSI, IoT Inspector continua a offrire un controllo di sicurezza gratuito per gli endpoint IoT/IIoT di tutti i tipi nelle infrastrutture KRITIS al fine di proteggere al meglio l'architettura di sicurezza europea. Un controllo del firmware richiede solo pochi minuti e analizza i rischi rilevanti.
Altro su IoT-Inspector.com
Informazioni su IoT Inspector
IoT Inspector è la principale piattaforma europea di analisi della sicurezza IoT e consente il test automatico del firmware dei dispositivi IoT per lacune di sicurezza critiche con pochi clic del mouse. Allo stesso tempo, il verificatore di conformità integrato rileva le violazioni delle normative di conformità internazionali. I punti deboli per attacchi esterni e rischi per la sicurezza vengono identificati nel più breve tempo possibile e possono essere eliminati in modo mirato. La soluzione, facile da usare tramite un'interfaccia web, rivela rischi di sicurezza sconosciuti per produttori e distributori di tecnologia IoT.