Er zit een ernstige kwetsbaarheid in OpenSSL. Er zijn veel zorgorganisaties die voor hun dagelijkse werkzaamheden gebruikmaken van OpenSSL. Z-CERT houdt daarom op dit blog bij wat de laatste ontwikkelingen zijn en welke applicaties en organisaties kwetsbaar zijn.
Berichtgeving over OpenSSL-kwetsbaarheid
Direct naar
Donderdag 3 november
De ernst van de kwetsbaarheden waarvoor OpenSSL dinsdag patches heeft gepubliceerd, is teruggebracht van ‘critical’ naar ‘high’. Dit komt onder andere omdat er aan een aantal voorwaarden moet worden voldaan om misbruik mogelijk te maken. De verwachte impact van de kwetsbaarheden is daarom beperkt.
Uiteraard blijven wij zorgorganisaties bijstaan als daar aanleiding voor is. Z-CERT blijft ook nog bijdragen aan de GitHub-lijst met softwareproducten van het NCSC en adviseert om deze lijst de komende tijd nog regelmatig te controleren op updates.
Dinsdag 1 november, 17:00
De mededeling van OpenSSL betreft de kwetsbaarheden met het kenmerk CVE-2022-3786 (denial-of-service kwetsbaarheid) en CVE-2022-3602, een ernstige kwetsbaarheid die kan leiden tot een buffer overflow. De inschaling van de kwetsbaarheid CVE-2022-3602 is naar beneden bijgesteld van ‘critical’ naar ‘high’.
De impact van de kwetsbaarheden is echter nog niet volledig in beeld.
Dinsdag 1 november, 11:00
De kwetsbaarheid zit in OpenSSL versie 3.0.0 tot en met 3.0.6. Dit betekent dat producten die OpenSSL versie 1.0.2 of 1.1.1 gebruiken, niet kwetsbaar zijn. We adviseren om alvast in kaart te brengen welke software binnen jouw organisatie gebruik maakt van OpenSSL. Als je voorbereid bent, kun je direct relevante software patchen zodra er updates beschikbaar zijn.
Maandag 31 oktober
Dinsdag 1 november komt OpenSSL met een update om meerdere kwetsbaarheden te verhelpen. De kwetsbaarheden lijken vooral voor te komen in OpenSSL versie 3. Op dit moment is er geen reden om aan te nemen dat versie 1.1.1 kwetsbaar is. Op 1 november wordt OpenSSL versie 3.0.7 uitgebracht waarin de kwetsbaarheden worden verholpen. De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem. Zodra er meer bekend is over de updates of kwetsbaarheden die relevant zijn voor de zorg, publiceren we hier meer informatie.
Wat is er aan de hand?
OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen. Het ontwikkelteam van OpenSSL heeft aangekondigd dat zij dinsdag 1 november 2022 versie 3.0.7 gaan uitbrengen, waarin meerdere kwetsbaarheden worden verholpen. OpenSSL hanteert vier niveaus om de impact van kwetsbaarheden te classificeren: laag, matig, hoog en kritiek. In dit geval gaat het om een kritieke kwetsbaarheid die mogelijk grote impact heeft. De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem.
Welke applicaties zijn kwetsbaar?
Het NCSC houdt een GitHub-pagina bij met daarop informatie over kwetsbare applicaties en systemen. Ook Z-CERT en andere onderzoekers dragen bij aan deze lijst. Controleer de lijst regelmatig op updates.
De kwetsbaarheden komen voor in OpenSSL 3.0.0 tot en met 3.0.6. OpenSSL versie 1.0.2 en 1.1.1 zijn dus niet kwetsbaar. Gebruikers van een kwetsbare versie wordt geadviseerd om OpenSSL 3.0.7 te gebruiken.
Wat moeten zorgorganisaties doen?
Iedereen die gebruik maakt van OpenSSL 3.0.0 – 3.0.6 wordt geadviseerd om zo snel mogelijk OpenSSL 3.0.7 te installeren. OpenSSL stelt dat er op dit moment geen aanwijzingen zijn dat er een exploit rondgaat om de kwetsbaarheden te misbruiken.