網路資安威脅
OpenSSL 3.0 最新重大漏洞與資安修正
新發現的 OpenSSL 漏洞帶來潛在的營運中斷風險。 以下是有關本週揭露的 OpenSSL 漏洞您該知道的資訊以及該如何因應
本週揭露的 OpenSSL 漏洞目前仍有許多未知細節有待 11 月 1 日正式公布,不過目前已出現一些雜音和疑慮,同時也是大家預做準備等待進一步細節公布的時機。
OpenSSL 是一個開放原始碼加密功能函式庫,廣泛應用於各種商業及內部應用程式,提供加密以及其他安全與隱私功能。不論是部署在企業內、雲端、軟體服務 (SaaS)、端點、伺服器、IoT 或 OT 環境的應用程式都有它的蹤影。所以,OpenSSL 一旦出現嚴重漏洞,其潛在的營運中斷風險相當高。
OpenSSL 出了什麼問題?
詳細的內容目前還不清楚 (不過一有最新消息,我們就會立即更新這篇文章)。OpenSSL Project 團隊已指出這是個「重大」(Critical) 等級的漏洞,受影響的版本必須修補至最新的 3.0.7 或更高版本。這是 OpenSSL 有史以來第二次出現「重大」漏洞 (第一次是在 2016 年 6 月)。此一嚴重等級的漏洞會「影響一般常用的組態而且 […] 也可能遭到攻擊。」
所幸,這項問題只影響 OpenSSL 3.0 或更高版本,受影響的應用程式應該有限。3.0 版是大約在一年前左右 (2021 年 9 月 7 日) 才推出,許多應用程式目前都還在使用舊的版本,所以不受此漏洞影響。
就算應用程式使用的是 OpenSSL 3.0 或更高版本,在某些情況下,應用程式還是安全的,因為這個漏洞不是隨時都會顯露出來,但這需要進一步的資訊做確認。
如何預做準備?
雖然進一步的細節尚未公布,但您還是可以在周二新消息發布之前,預先採取一些防範措施。
1.別驚慌:許多應用程式都還在使用 OpenSSL 3.0 以前的版本,因此不受影響。所以您所有應用程式都遇到這問題的機率極低。
2.找出正在使用 OpenSSL 3.0 或更高版本的內部應用程式:現在正是您盤點內部應用程式是否使用受影響 OpenSSL 版本的絕佳時機 (例如您的員工或承包商開發的客製化應用程式)。您可以查看一下既有的「軟體成分清單」(SBOM) 或自己掃描一下您企業的原始程式碼儲存庫。這樣您就能在收到更多細節的第一時間立即評估受衝擊的程度,並檢查每個含有此漏洞的應用程式是否可能遭到攻擊。
3.準備核對第三方廠商的狀況:許多第三方應用程式都會用到 OpenSSL,因此您可能要跟您使用的應用程式廠商確認一下 (不論是企業內或 SaaS 應用程式),看看他們是否受到影響。
4.準備進行修補:預先設想您的某些內部和第三方應用程式可能需要緊急修補。根據您的盤點資料規畫一下修補的優先次序,此外也要想一下短期內是否需要額外人力來進行修補工作。
5.準備將某些應用程式暫時離線:假使漏洞細節公布之後,您發現自己的營運或資料面臨嚴重風險,但又沒辦法及時修補,那麼您可能必須將應用程式暫時離線。雖然您目前還不需這麼做,但仍值得事先思考一下這樣的可能性。
6.當進一步漏洞細節公布之後該如何防範:目前還無法得知除了修補漏洞之外還有什麼防範之道。不過,入侵防護 (IPS) 這類的技術 (如趨勢科技的 TippingPoint) 或主機入侵防護 (如趨勢科技的 Cloud One 和 Apex One 端點防護提供的虛擬修補) 或許能有效防止這個 OpenSSL 漏洞遭到攻擊,不過在進一步細節尚未公布之前,趨勢科技也無從判定這些方法是否有效。除此之外,延伸式偵測及回應 (XDR) 或端點偵測及回應 (EDR) 產品也許可用來查看是否有攻擊此漏洞的事件,但還是那句話,目前仍言之過早。
趨勢科技的產品是否受到影響?
趨勢科技目前還不曉得我們的產品是否受到這個 OpenSSL 3.0 漏洞影響,這部分仍有待進一步細節出來之後才能檢驗。
目前我們已在這裡發布了一篇初步的知識庫文章,一有更多資訊就會立即更新。