OpenSSL haavoittuvainen välimieshyökkäykselle

Uusi OpenSSL-haavoittuvuus vaarantaa salatun viestinnän luottamuksellisuuden ja eheyden. Haavoittuvuuden hyödyntäminen vaatii kuitenkin, että hyökkääjä pääsee asiakkaan ja palvelimen väliseen tietoliikenteeseen käsiksi.

Verkkoyhteyksien salaukseen käytetystä OpenSSL-kirjastosta on löytynyt useita haavoittuvuuksia. Haavoittuvuuksista vakavinta voi käyttää välimieshyökkäyksen (Man-in-the-Middle, MitM) toteuttamiseen. Haavoittuvuus perustuu salatun yhteyden muodostusvaiheessa vaihdettavien tietojen manipulointiin. Haavoittuvuuden hyödyntäminen edellyttää, että hyökkääjä pääsee käyttäjän ja palvelimen välisen verkkoyhteyden väliin. Tällainen tilanne saattaa syntyä esimerkiksi avointa langatonta lähiverkkoa (WLAN) käytettäessä. Hyökkäyksen onnistuessa käyttäjä ei huomaa, että yhteys jää salaamattomaksi. Haavoittuvuuden avulla hyökkääjän on mahdollista kuunnella tai muunnella tietoliikennettä.

Haavoittuvuus korjaantuu päivitettäessä OpenSSL uusimpaan versioon palvelin- tai asiakassovelluksissa. Haavoittuvuutta voidaan käyttää hyväksi vain kun sekä palvelin että asiakas ovat haavoittuvia. Käyttäjät voivat suojautua haavoittuvuudelta päivittämällä haavoittuvat sovellukset sitä mukaa kun päivitykset tulevat saataville.

OpenSSL-kirjastosta paljastui huhtikuun alussa Heartbleediksi nimetty haavoittuvuus, jonka avulla hyökkääjä pystyi saamaan haltuunsa tietoja palvelimelta minkä tahansa verkkoyhteyden välityksellä. Nyt ilmitulleen haavoittuvuuden hyväksikäyttäminen on ratkaisevasti hankalampaa kuin Heartbleed-haavoittuvuuden, koska se edellyttää hyökkääjältä pääsyä verkkoyhteyden väliin kun käyttäjä aloittaa suojatun yhteyden muodostamisen.


Haavoittuvuustiedote 75/2014
Tietoturva nyt! - Man in the Middle -hyökkäyksen torjunta

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248