A Check Point Research (CPR) alerta para a publicação de um comunicado oficial da equipe do projeto OpenSSL anunciando o próximo lançamento de sua nova versão, que inclui a correção de uma vulnerabilidade crítica de segurança, comunicado na última terça-feira (01).
O OpenSSL, por sua vez, definiu a vulnerabilidade crítica da seguinte forma: “Severidade crítica. Afeta as configurações mais comuns e também é provável que elas possam ser exploradas. Embora os detalhes exatos sejam desconhecidos no momento, pedimos às organizações que fiquem atentas ao lançamento e mantenham seus sistemas corrigidos e todas as proteções atualizadas até que mais detalhes sejam conhecidos.”
O OpenSSL é uma biblioteca de código comumente usada e projetada para permitir comunicação segura pela Internet. Simplificando, sempre que navegamos na Internet, o site ou o serviço online que acessamos utiliza OpenSSL em seu nível básico. Portanto, a magnitude potencial dessa vulnerabilidade é enorme, por isso a urgência de corrigir e atualizar os sistemas.
Quais versões do OpenSSL estão expostas?
As versões 3.0 e superiores do OpenSSL são as consideradas vulneráveis. Espera-se que o OpenSSL versão 3.0.7 seja o próximo lançamento e deverá incluir a correção de vulnerabilidade crítica.
Qual pode ser o risco?
Embora tenha de se esperar até o anúncio do patch hoje, 1º de novembro, para conhecer os detalhes da vulnerabilidade, isso pode incluir a divulgação de informações de chave privada ou informações do usuário em grande escala.
O que pode ser feito até que mais detalhes sejam conhecidos?
Enquanto isso, as empresas devem permanecer atentas, corrigir e atualizar todos os sistemas para a versão mais recente e se preparar para atualizar os IPSs assim que estiverem disponíveis.
Recomenda-se também conhecer detalhadamente onde o OpenSSL é utilizado dentro da empresa, informação que pode ser obtida na lista de materiais do software (SBOM), para poder priorizar as áreas críticas. Os pesquisadores da Check Point Software estão acompanhando de perto esta situação e relatarão quaisquer desenvolvimentos futuros.
“O recente anúncio do projeto OpenSSL de que o próximo lançamento em 1º de novembro incluiria uma correção para uma vulnerabilidade crítica, colocou a comunidade de tecnologia da Internet em alerta máximo. Vulnerabilidade crítica no OpenSSL tem o potencial de abalar as fundações da internet criptografada e a privacidade de todos nós. Este é realmente um grande problema”, adverte Lotem Finkelstein, diretor de Inteligência de Ameaças e Área de Pesquisa da Check Point Software.
“Embora tenhamos que esperar e ler o que a equipe do OpenSSL tem para compartilhar na terça-feira, gostaríamos de pedir a todas as organizações que melhorem sua visibilidade para os diferentes aplicativos e serviços da Web que usam ou fornecem e a versão do OpenSSL que executam. Esta não é uma tarefa fácil, mas, nesta terça-feira, precisaremos nos certificar de que estamos familiarizados com nossos pontos fracos e agir para evitar os próximos ataques”, recomenda fortemente Finkelstein.
Outro importante alerta vem da análise feita pela Dra. Dorit Dor, Chief Product Officer (CPO) da Check Point Software Technologies. “Do SolarWinds ao Log4j e agora a vulnerabilidade do OpenSSL, estamos vendo um aumento exponencial na taxa e sofisticação dos ataques cibernéticos globalmente. O OpenSSL é a base do setor para proteger a Internet — permitindo que as comunicações por e-mail, sites e aplicativos da web sejam seguras — o que torna essa ameaça especialmente perigosa. Enquanto o setor aguarda o patch desta terça-feira, nossa equipe de pesquisa na Check Point Software está descobrindo e compartilhando o máximo possível de informações sobre a vulnerabilidade para garantir que nossos clientes e parceiros estejam preparados. Aconteça o que acontecer no espaço de segurança cibernética — qualquer nova vulnerabilidade, ameaça ou atividade maliciosa — nós da Check Point Software estamos lá para protegê-lo.”
