O OpenSSL, por sua vez, definiu a vulnerabilidade crítica da seguinte forma: “Severidade crítica. Afeta as configurações mais comuns e também é provável que elas possam ser exploradas
– O projeto OpenSSL, um marco na segurança da Internet, anunciou a correção de uma vulnerabilidade de segurança de gravidade crítica; assim, as empresas devem permanecer atentas e se prepararem para corrigir e atualizar os sistemas nesta terça-feira, 1º de novembro
– Os pesquisadores da Check Point Software estão monitorando de perto esta situação e atualizarão as novas proteções assim que os detalhes forem divulgados
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, alerta para a publicação de um comunicado oficial da equipe do projeto OpenSSL anunciando o próximo lançamento de sua nova versão, que inclui a correção de uma vulnerabilidade crítica de segurança, no dia de hoje (01/11/2022).
O OpenSSL, por sua vez, definiu a vulnerabilidade crítica da seguinte forma: “Severidade crítica. Afeta as configurações mais comuns e também é provável que elas possam ser exploradas.
Embora os detalhes exatos sejam desconhecidos no momento, pedimos às organizações que fiquem atentas ao lançamento e mantenham seus sistemas corrigidos e todas as proteções atualizadas até que mais detalhes sejam conhecidos.”
O OpenSSL é uma biblioteca de código comumente usada e projetada para permitir comunicação segura pela Internet.
Simplificando, sempre que navegamos na Internet, o site ou o serviço online que acessamos utiliza OpenSSL em seu nível básico.
Portanto, a magnitude potencial dessa vulnerabilidade é enorme, por isso a urgência de corrigir e atualizar os sistemas.
Quais versões do OpenSSL estão expostas?
As versões 3.0 e superiores do OpenSSL são as consideradas vulneráveis. Espera-se que o OpenSSL versão 3.0.7 seja o próximo lançamento e deverá incluir a correção de vulnerabilidade crítica.
Qual pode ser o risco?
Embora tenha de se esperar até o anúncio do patch hoje, 1º de novembro, para conhecer os detalhes da vulnerabilidade, isso pode incluir a divulgação de informações de chave privada ou informações do usuário em grande escala.
O que pode ser feito até que mais detalhes sejam conhecidos?
Enquanto isso, as empresas devem permanecer atentas, corrigir e atualizar todos os sistemas para a versão mais recente e se preparar para atualizar os IPSs assim que estiverem disponíveis.
Recomenda-se também conhecer detalhadamente onde o OpenSSL é utilizado dentro da empresa, informação que pode ser obtida na lista de materiais do software (SBOM), para poder priorizar as áreas críticas.
Os pesquisadores da Check Point Software estão acompanhando de perto esta situação e relatarão quaisquer desenvolvimentos futuros.
“O recente anúncio do projeto OpenSSL de que o próximo lançamento em 1º de novembro incluiria uma correção para uma vulnerabilidade crítica, colocou a comunidade de tecnologia da Internet em alerta máximo. Vulnerabilidade crítica no OpenSSL tem o potencial de abalar as fundações da internet criptografada e a privacidade de todos nós. Este é realmente um grande problema“, adverte Lotem Finkelstein, diretor de Inteligência de Ameaças e Área de Pesquisa da Check Point Software.
“Embora tenhamos que esperar e ler o que a equipe do OpenSSL tem para compartilhar na terça-feira, gostaríamos de pedir a todas as organizações que melhorem sua visibilidade para os diferentes aplicativos e serviços da Web que usam ou fornecem e a versão do OpenSSL que executam. Esta não é uma tarefa fácil, mas, nesta terça-feira, precisaremos nos certificar de que estamos familiarizados com nossos pontos fracos e agir para evitar os próximos ataques“, recomenda fortemente Finkelstein.
Outro importante alerta vem da análise feita pela Dra. Dorit Dor, Chief Product Officer (CPO) da Check Point Software Technologies.
“Do SolarWinds ao Log4j e agora a vulnerabilidade do OpenSSL, estamos vendo um aumento exponencial na taxa e sofisticação dos ataques cibernéticos globalmente. O OpenSSL é a base do setor para proteger a Internet — permitindo que as comunicações por e-mail, sites e aplicativos da web sejam seguras — o que torna essa ameaça especialmente perigosa. Enquanto o setor aguarda o patch desta terça-feira, nossa equipe de pesquisa na Check Point Software está descobrindo e compartilhando o máximo possível de informações sobre a vulnerabilidade para garantir que nossos clientes e parceiros estejam preparados. Aconteça o que acontecer no espaço de segurança cibernética — qualquer nova vulnerabilidade, ameaça ou atividade maliciosa — nós da Check Point Software estamos lá para protegê-lo.“
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Checkpoint Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção.
e-COMMERCE & VAREJO
Aqui no Crypto ID você encontra soluções para o varejo que vão proporcionar segurança e confiança entre sua marca e seus consumidores.
Trustcert orienta sobre principais ações frente a vulnerabilidade crítica do OpenSSL anunciada hoje
Vantix lança sistema de segurança cibernética on-line e na nuvem em parceria com empresa israelense
NFTs: Popularização segura depende de medidas de cibersegurança eficientes
Golpe do Abate do Porco: Criminosos engordam contas a custa das vítimas
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!