לארגונים יש חמישה ימים להתכונן למה שפרויקט OpenSSL ב-26 באוקטובר תיאר כפגיעות "קריטית" בגירסאות 3.0 ומעלה של ספריית ההצפנה המשמשת כמעט בכל מקום להצפנת תקשורת באינטרנט.
ביום שלישי, 1 בנובמבר, הפרויקט ישחרר גרסה חדשה של OpenSSL (גרסה 3.0.7) שתתקן פגם שעדיין לא נחשף בגרסאות הנוכחיות של הטכנולוגיה. מאפייני הפגיעות והקלות שבה ניתן לנצל אותה יקבעו את המהירות שבה יצטרכו ארגונים לטפל בבעיה.
השלכות פוטנציאליות ענקיות
ספקי מערכות הפעלה גדולים, מפרסמי תוכנה, ספקי דוא"ל וחברות טכנולוגיה ששילבו את OpenSSL במוצרים ובשירותים שלהם, סביר להניח שיהיו גרסאות מעודכנות של הטכנולוגיות שלהם בזמן שחרור עם חשיפת הפגם של פרויקט OpenSSL ביום שלישי הבא. אבל זה עדיין ישאיר פוטנציאל של מיליוני אחרים - כולל סוכנויות פדרליות, חברות פרטיות, ספקי שירותים, יצרני מכשירי רשת ואינספור מפעילי אתרים - עם דד-ליין צפוי למצוא ולתקן את הפגיעות לפני שגורמי האיום יתחילו לנצל אותה.
אם הפגיעות החדשה תתברר כבאג Heartbleed נוסף - הפגיעות הקריטית האחרונה שהשפיעה על OpenSSL - ארגונים ולמעשה התעשייה כולה הולכים להיות תחת האקדח לטפל בבעיה במהירות האפשרית.
הפגיעות של Heartbleed (CVE-2014-0160), שנחשפה ב-2014, בעצם נתנה לתוקפים דרך לצותת לתקשורת באינטרנט, לגנוב נתונים
משירותים ומשתמשים, להתחזות לשירותים, ולעשות את כל זה עם מעט זכר לכך שהם אי פעם עשו משהו מזה. הבאג היה קיים בגרסאות OpenSSL ממרץ 2012 ואילך והשפיע על מגוון מסחרר של טכנולוגיות, כולל שרתי אינטרנט בשימוש נרחב כגון Nginx, Apache ו- IIS; ארגונים כגון גוגל, Akamai, CloudFlare ופייסבוק; שרתי דואר אלקטרוני וצ'אט; מכשירי רשת מחברות כמו סיסקו; ו-VPNs.
חשיפת הבאג עוררה תזזית של פעילות מתקנת ברחבי התעשייה ועוררה חששות מפני פשרות גדולות. כפי שציין אתר Heartbleed.com של Synopsys, Apache ו-Nginx לבדם היוו נתח שוק של למעלה מ-66% מהאתרים הפעילים באינטרנט בזמן חשיפת Heartbleed.
אין לדעת, עד יום שלישי לפחות, אם הפגם החדש יהיה כמו Heartbleed. אבל בהתחשב בשימוש הכמעט קריטי דמוי תשתית ב-OpenSSL להצפנה ברחבי האינטרנט, טוב יעשו ארגונים שלא לזלזל באיום, אמרו מומחי אבטחה השבוע.
ארגוני אבטחה צריכים להיעזר בהשפעה
"קצת קשה לשער לגבי ההשפעה, אבל ניסיון העבר הראה ש-OpenSSL לא משתמש בתווית 'קריטי' בקלילות", אומר יוהנס אולריך, דיקן המחקר במכון SANS.
OpenSSL עצמו מגדיר פגם קריטי ככזה מאפשר חשיפה משמעותית של תוכן זיכרון השרת ופרטי משתמש פוטנציאליים, פגיעויות שניתן לנצל בקלות ומרחוק כדי לסכן מפתחות פרטיים של השרת.
גרסה 3.0, המהדורה הנוכחית של OpenSSL, נמצאת בשימוש במערכות הפעלה נוכחיות רבות, כמו אובונטו 22.04 LTS ו-MacOS Mavericks ו-Ventura, מציין Ullrich. ארגונים יכולים לצפות לקבל תיקוני לינוקס במהירות ובסבירות באותו זמן עם עלון OpenSSL ביום שלישי. אבל ארגונים צריכים להתכונן עכשיו, ולגלות אילו מערכות משתמשות ב-OpenSSL 3.0, אומר אולריך. "אחרי Heartbleed, OpenSSL הציג את ההכרזות המוקדמות על תיקוני אבטחה", הוא אומר. "הם אמורים לעזור לארגונים להתכונן. אז נצל את הזמן הזה כדי לגלות מה צריך תיקון."
בריאן פוקס, מייסד שותף ו-CTO ב-Sonatype, אומר שכאשר פרויקט OpenSSL חושף את הבאג ביום שלישי, ארגונים צריכים לזהות אם הם משתמשים בגרסה פגיעה בכל מקום בתיק הטכנולוגיה שלהם, אילו יישומים משתמשים בה וכמה זמן יידרש להם לתקן את הבעיה.
"טווח הגעה פוטנציאלי הוא תמיד הקטע המשמעותי ביותר של כל פגם גדול", מציין פוקס. "במקרה זה, האתגר הגדול ביותר עם עדכון OpenSSL הוא שלעתים קרובות השימוש הזה מוטבע בתוך מכשירים אחרים." במקרים אלה, זה יכול להיות קשה להעריך את החשיפה מבלי לשאול את ספק הטכנולוגיה במעלה הזרם, הוא מוסיף.
כל דבר שמתקשר עם האינטרנט בצורה מאובטחת עשוי להיות OpenSSL מובנה בו. ולא רק תוכנה יכולה להיות מושפעת אלא גם חומרה. ההודעה המוקדמת שפרויקט OpenSSL סיפק אמורה לתת לארגונים זמן להתכונן. "למצוא אילו חלקי תוכנה או מכשירים זה הצעד הראשון. ארגונים צריכים לעשות זאת כעת, ולאחר מכן תיקון או רכישת עדכונים מהספקים במעלה הזרם יגיעו בהמשך", אומר פוקס. "כל מה שאתה יכול לעשות כרגע זה מלאי."
מערכת אקולוגית שלמה עשויה להזדקק לעדכון
הרבה תלוי גם באופן שבו ספקים של מוצרים עם גרסאות פגיעות של OpenSSL מוטבעות בהם יגיבו לחשיפה. שחרור הגרסה החדשה של פרויקט OpenSSL ביום שלישי היא רק הצעד הראשון. "מערכת אקולוגית שלמה של יישומים שנבנו עם OpenSSL תצטרך גם לעדכן את הקוד שלהם, לשחרר עדכונים משלהם, וארגונים יצטרכו ליישם אותם", אומר ג'ון במבנק, צייד האיומים הראשי ב-Netenrich.
באופן אידיאלי, לארגונים שעסקו ב-Heartbleed יהיה מושג היכן נמצאות התקנות ה-OpenSSL שלהם ואיזה ממוצרי הספקים שלהם ידרשו גם עדכון. "זו הסיבה שכתבי חומרי תוכנה יכולים להיות חשובים", אומר במבנק. "הם יכולים לקחת את הזמן הזה כדי ליצור קשר ולהבין את תוכניות הספקים והספקים שלהם לעדכונים כדי לוודא שהעדכונים האלה מיושמים גם הם." נושא סביר אחד שארגונים צריכים להיות מוכנים אליו הוא איך להתמודד עם מוצרים סופיים שעבורם אין עדכונים זמינים, הוא מוסיף.
מייק פרקין, מהנדס טכני בכיר ב-Vulcan Cyber, אומר שללא עדויות לפעילות ניצול ואינדיקטורים נלווים לפשרה, עדיף שארגונים יעקוב אחר תהליך ניהול השינויים הרגיל שלהם כאשר עדכון ידוע בדרך. "בצד האבטחה, כדאי לשים קצת דגש נוסף על מערכות שעלולות להיות מושפעות אם יופיע ניצול לפני שהמהדורה החדשה תרד", הוא מייעץ.
אין מספיק מידע בהכרזה של OpenSSL Project כדי לומר כמה עבודה תהיה מעורבת בשדרוג, "אבל אלא אם כן הוא ידרוש עדכון אישורים, השדרוג כנראה יהיה פשוט", צופה פרקין.
כמו כן, ב-1 בנובמבר, פרויקט OpenSSL ישחרר את גרסה 1.1.1 של OpenSSL, אותה תיאר כ"שחרור תיקון באגים". גרסה 1.1.1, שהיא מחליפה, אינה רגישה ל-CVE שמתוקן ב-3.0, ציין הפרויקט.
