조직은 26월 3.0일 OpenSSL 프로젝트에서 인터넷 통신을 암호화하기 위해 거의 어디서나 사용되는 암호화 라이브러리 버전 XNUMX 이상에서 "중요한" 취약점으로 설명한 것에 대비하는 데 XNUMX일의 시간이 주어졌습니다.
1월 3.0.7일 화요일에 프로젝트는 현재 버전의 기술에서 아직 공개되지 않은 결함을 패치할 새로운 버전의 OpenSSL(버전 XNUMX)을 출시할 예정입니다. 취약점의 특성과 이를 악용할 수 있는 용이성에 따라 조직이 문제를 해결해야 하는 속도가 결정됩니다.
잠재적으로 큰 영향
OpenSSL을 제품 및 서비스에 통합한 주요 운영 체제 공급업체, 소프트웨어 게시자, 이메일 제공업체 및 기술 회사는 다음 주 화요일 OpenSSL 프로젝트의 결함 공개와 함께 출시에 맞춰 업데이트된 기술 버전을 갖게 될 가능성이 높습니다. 그러나 이로 인해 연방 기관, 민간 기업, 서비스 제공업체, 네트워크 장치 제조업체 및 수많은 웹 사이트 운영자를 포함하여 잠재적으로 수백만 명의 다른 사람들이 위협 행위자가 취약점을 악용하기 전에 취약점을 찾아 수정해야 하는 기한이 다가오고 있습니다.
새로운 취약점이 또 다른 Heartbleed 버그(OpenSSL에 영향을 미치는 마지막 중요한 취약점)로 밝혀지면 조직과 업계 전체가 가능한 한 빨리 문제를 해결하기 위해 총력을 기울일 것입니다.
2014년에 공개된 Heartbleed 취약점(CVE-0160-2014)은 기본적으로 공격자에게 다음과 같은 방법을 제공했습니다. 인터넷 통신을 도청하고, 데이터를 훔칩니다.
서비스와 사용자로부터 서비스를 가장하고, 이 모든 작업을 수행한 적이 거의 없는 상태에서 수행됩니다. 이 버그는 2012년 XNUMX월부터 OpenSSL 버전에 존재했으며 Nginx, Apache 및 IIS와 같이 널리 사용되는 웹 서버를 포함하여 어지러운 범위의 기술에 영향을 미쳤습니다. 다음과 같은 조직 구글, 아카마이, 클라우드플레어, 페이스북; 이메일 및 채팅 서버; Cisco와 같은 회사의 네트워크 장비; 그리고 VPN.
버그가 공개되자 업계 전반에 걸쳐 열광적인 교정 활동이 촉발되었고 중대한 손상에 대한 우려가 촉발되었습니다. Synopsys의 Heartbleed.com 사이트에서 언급했듯이 Apache와 Nginx만 해도 Heartbleed가 공개되었을 당시 인터넷 활성 사이트의 66%가 넘는 시장 점유율을 차지했습니다.
새로운 결함이 Heartbleed와 같은 것일지는 적어도 화요일까지는 알 수 없습니다. 그러나 이번 주 보안 전문가들은 인터넷 전반의 암호화를 위해 거의 중요한 인프라와 유사한 OpenSSL을 사용한다는 점을 고려할 때 조직이 위협을 과소평가해서는 안 된다고 말했습니다.
보안 조직은 영향에 대비해야 합니다.
SANS 연구소의 연구 책임자인 Johannes Ullrich는 "영향에 대해 추측하기는 다소 어렵지만 과거 경험에 따르면 OpenSSL은 '중요'라는 레이블을 가볍게 사용하지 않는 것으로 나타났습니다."라고 말했습니다.
OpenSSL 자체는 심각한 결함을 다음과 같이 정의합니다. 서버 메모리의 내용을 크게 공개할 수 있습니다. 서버 개인 키를 손상시키기 위해 쉽게 원격으로 악용될 수 있는 잠재적인 사용자 세부 정보, 취약점.
OpenSSL의 현재 릴리스인 버전 3.0은 Ubuntu 22.04 LTS, MacOS Mavericks 및 Ventura와 같은 현재의 많은 운영 체제에서 사용된다고 Ullrich는 말합니다. 조직에서는 화요일 OpenSSL 게시판과 동시에 Linux 패치를 신속하게 받을 수 있을 것으로 예상됩니다. 그러나 조직은 지금 준비하여 어떤 시스템이 OpenSSL 3.0을 사용하는지 알아내야 한다고 Ullrich는 말합니다. “Heartbleed 이후 OpenSSL은 이러한 보안 패치 사전 발표를 도입했습니다.”라고 그는 말합니다. “그들은 조직이 준비하는 데 도움을 주기로 되어 있습니다. 그러니 이번 기회에 패치가 필요한 부분을 알아보세요.”
Sonatype의 공동 창립자이자 CTO인 Brian Fox는 OpenSSL 프로젝트가 화요일에 버그를 공개할 때까지 조직은 기술 포트폴리오의 어디에서나 취약한 버전을 사용하고 있는지, 어떤 애플리케이션이 이를 사용하고 있는지, 얼마나 오랫동안 사용하고 있는지 확인해야 한다고 말합니다. 문제를 해결하는 데 시간이 걸릴 것입니다.
Fox는 “잠재적 도달 범위는 항상 주요 결함 중 가장 중요한 부분입니다.”라고 말합니다. "이 경우 OpenSSL을 업데이트할 때 가장 큰 과제는 이러한 사용이 다른 장치 내부에 내장되는 경우가 많다는 것입니다." 이러한 경우 기술의 업스트림 제공업체에 문의하지 않고 노출을 평가하기 어려울 수 있다고 그는 덧붙였습니다.
인터넷과 안전하게 통신하는 모든 것에는 잠재적으로 OpenSSL이 내장되어 있을 수 있습니다. 영향을 받을 수 있는 것은 소프트웨어뿐만 아니라 하드웨어도 마찬가지입니다. OpenSSL 프로젝트가 제공하는 사전 공지는 조직이 준비할 시간을 제공해야 합니다. “어떤 소프트웨어나 장치를 찾는 것이 첫 번째 단계입니다. 조직은 지금 그렇게 해야 하며, 그런 다음 업스트림 공급업체로부터 업데이트를 패치하거나 소싱할 것입니다.”라고 Fox는 말합니다. “지금 할 수 있는 일은 재고 정리뿐입니다.”
전체 생태계를 업데이트해야 할 수도 있음
또한 취약한 버전의 OpenSSL이 내장된 제품 공급업체가 공개에 어떻게 대응하는지에 따라 많은 것이 달라집니다. OpenSSL 프로젝트의 화요일 새 버전 출시는 첫 번째 단계에 불과합니다. Netenrich의 주요 위협 탐지자인 John Bambenek은 "OpenSSL로 구축된 애플리케이션의 전체 생태계는 코드를 업데이트하고 자체 업데이트를 출시해야 하며 조직은 이를 적용해야 합니다."라고 말합니다.
이상적으로 Heartbleed를 처리한 조직은 OpenSSL 설치 위치와 업데이트가 필요한 공급업체 제품에 대한 아이디어를 갖게 됩니다. Bambenek은 "이것이 소프트웨어 자재 명세서가 중요한 이유입니다."라고 말합니다. “그들은 이 시간을 들여 공급업체와 공급업체의 업데이트 계획을 파악하고 해당 업데이트가 적용되는지 확인하는 데 시간을 할애할 수 있습니다.” 그는 조직이 준비해야 할 문제 중 하나는 업데이트를 사용할 수 없는 단종 제품을 처리하는 방법이라고 덧붙였습니다.
Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 악용 활동의 증거 및 관련 손상 지표가 없으면 알려진 업데이트가 진행 중일 때 조직이 일반적인 변경 관리 프로세스를 따르는 것이 가장 좋다고 말합니다. “보안 측면에서는 새 릴리스가 출시되기 전에 악용 사례가 나타날 경우 영향을 받을 수 있는 시스템에 좀 더 초점을 맞추는 것이 좋습니다.”라고 그는 조언합니다.
OpenSSL 프로젝트의 발표에는 업그레이드에 얼마나 많은 작업이 소요될 것인지에 대한 정보가 충분하지 않습니다. 그러나 Parkin은 "그러나 인증서 업데이트가 필요하지 않은 경우 업그레이드는 아마도 간단할 것"이라고 예측합니다.
또한 1월 1.1.1일에 OpenSSL 프로젝트는 "버그 수정 릴리스"라고 설명하는 OpenSSL 버전 1.1.1s를 출시할 예정입니다. 이를 대체하는 버전 3.0은 XNUMX에서 수정되고 있는 CVE에 영향을 받지 않는다고 프로젝트는 지적했습니다.
