A Check Point Software analisa e orienta sobre falha de segurança no OpenSSL, uma biblioteca de códigos comumente utilizada, concebida para permitir uma comunicação segura na Internet. A empresa alerta para a publicação de um comunicado oficial da equipe do projeto OpenSSL anunciando o próximo lançamento de sua nova versão, que inclui a correção de uma vulnerabilidade crítica de segurança, para hoje, 01 de novembro.
Vulnerabilidade crítica na biblioteca OpenSSL
O OpenSSL definiu a vulnerabilidade crítica da seguinte forma: “Severidade crítica. Afeta as configurações mais comuns e também é provável que elas possam ser exploradas. Embora os detalhes exatos sejam desconhecidos no momento, pedimos às organizações que fiquem atentas ao lançamento e mantenham seus sistemas corrigidos e todas as proteções atualizadas até que mais detalhes sejam conhecidos”.
O OpenSSL é uma biblioteca de código comumente usada e projetada para permitir comunicação segura pela Internet. Simplificando, sempre que navegamos na Internet, o site ou o serviço online que acessamos utiliza OpenSSL em seu nível básico. Portanto, a magnitude potencial dessa vulnerabilidade é enorme, por isso a urgência de corrigir e atualizar os sistemas.
Quais versões do OpenSSL estão expostas e o risco?
As versões do OpenSSL consideradas vulneráveis são a 3.0 e superiores. Espera-se que o OpenSSL versão 3.0.7 seja o próximo lançamento e deverá incluir a correção de vulnerabilidade crítica.
Embora tenha de se esperar até o anúncio do patch hoje, 1º de novembro, para conhecer os detalhes da vulnerabilidade, isso pode incluir a divulgação de informações de chave privada ou informações do usuário em grande escala, aponta a Check Point.
O que pode ser feito até que mais detalhes sejam conhecidos?
As empresas devem permanecer atentas, corrigir e atualizar todos os sistemas para a versão mais recente e se preparar para atualizar os IPSs assim que estiverem disponíveis. Recomenda-se também conhecer detalhadamente onde o OpenSSL é utilizado dentro da empresa, informação que pode ser obtida na lista de materiais do software (SBOM), para poder priorizar as áreas críticas.
Os pesquisadores da Check Point Software estão acompanhando de perto esta situação e relatarão quaisquer desenvolvimentos futuros. “O recente anúncio do projeto OpenSSL de que o próximo lançamento em 1º de novembro incluiria uma correção para uma vulnerabilidade crítica, colocou a comunidade de tecnologia da Internet em alerta máximo. Vulnerabilidade crítica no OpenSSL tem o potencial de abalar as fundações da internet criptografada e a privacidade de todos nós. Este é realmente um grande problema”, adverte Lotem Finkelstein, diretor de Inteligência de Ameaças e Área de Pesquisa da Check Point Software.
A Check Point pede “a todas as organizações que melhorem sua visibilidade para os diferentes aplicativos e serviços da Web que usam ou fornecem e a versão do OpenSSL que executam. Esta não é uma tarefa fácil, mas, nesta terça-feira, precisaremos nos certificar de que estamos familiarizados com nossos pontos fracos e agir para evitar os próximos ataques”, recomenda fortemente Finkelstein.
Enquanto o setor aguarda o patch desta terça-feira, “nossa equipe de pesquisa na Check Point Software está descobrindo e compartilhando o máximo possível de informações sobre a vulnerabilidade para garantir que nossos clientes e parceiros estejam preparados. Aconteça o que acontecer no espaço de segurança cibernética — qualquer nova vulnerabilidade, ameaça ou atividade maliciosa — nós da Check Point Software estamos lá para protegê-lo”, diz a empresa.