전문가들이 OpenSSL의 잠재적인 치명적인 버그에 대해 경고합니다.
주요 운영 체제 공급업체, 소프트웨어 게시자, 이메일 제공업체 및 제품에 OpenSSL을 통합하는 기술 회사는 거의 모든 암호화 라이브러리 버전 3.0 이상에서 발생할 수 있는 "중대한" 취약점에 대비하도록 요청받았습니다.
OpenSSL은 컴퓨터 네트워크를 통한 통신을 도청하거나 상대방의 신원을 확인할 수 없도록 보호하는 애플리케이션용 소프트웨어 라이브러리입니다. 주로 인터넷 서버에서 사용되며, 대부분은 HTTPS 웹사이트입니다.
현재 버전의 기술에서 아직 공개되지 않은 결함을 수정하는 패치는 11월 1일(화)에 예정된 새 버전의 OpenSSL(버전 3.0.7)에서 배포될 예정입니다. 업데이트된 버전의 기술은 OpenSSL 프로젝트의 출시와 동시에 공개될 예정이지만, 공격자가 취약점을 악용하기 전에 수백만 명의 사용자가 취약점을 찾아 수정할 수 있는 기한이 임박해 있습니다.
연구원들은 이 새로운 취약점이 또 다른 하트블리드 버그일 수 있다고 우려하고 있습니다. 2014년에 발견된 하트블리드 취약점인 CVE-2014-0160은 공격자가 인터넷 통신을 가로채고 서비스 및 사용자의 데이터를 훔칠 수 있게 해주며, 공격자가 서비스를 사칭하고 악의적인 활동을 수행해도 흔적이 거의 남지 않아 자신의 행동을 추적할 수 있게 해줍니다.
인터넷과 안전하게 통신하는 모든 제품에는 OpenSSL이 내장되어 있을 가능성이 있습니다. 소프트웨어 외에도 하드웨어도 영향을 받을 수 있습니다.
OpenSSL 프로젝트에서 제공하는 사전 정보를 통해 조직은 이에 대비할 시간을 가질 수 있습니다.
벌칸 사이버의 수석 기술 엔지니어인 마이크 파킨에 따르면 익스플로잇 활동 및 관련 침해 지표가 없는 경우, 조직은 알려진 업데이트가 진행 중일 때 일반적인 변경 관리 프로세스를 따라야 한다고 합니다.
일부 조직은 이미 하트블리드에 대응했기 때문에 공급업체 제품에서 업데이트를 위해 요구하므로 OpenSSL 설치 위치를 알고 있을 것으로 예상됩니다.
Netenrich의 수석 위협 헌터인 존 반베넥은 조직이 준비해야 할 문제 중 하나로 업데이트를 사용할 수 없는 단종 제품을 처리하는 방법을 꼽았습니다.
이 글의 출처는 다크리딩의 기사입니다.