Kwetsbaarheden in OpenSSL

Vanochtend is bekend geworden dat er code publiekelijk beschikbaar is om misbruik te maken van OpenSSL. Het Nationaal Cyber Security Centrum (NCSC) heeft daarom de inschaling van advies NCSC 2021-0259 verhoogd naar "HIGH/HIGH"; de kans op misbruik op korte termijn én de potentiële schade is groot. Op 25 maart zijn beveiligingsupdates voor OpenSSL beschikbaar gesteld. De kwetsbaarheid wordt ook wel SPOOKYSSL genoemd.

Wat is OpenSSL?

OpenSSL is een product dat wordt gebruikt voor de versleuteling van internetverkeer. Daarmee is er veilige communicatie mogelijk op het internet.

Wat is het risico?

Met de gevonden kwetsbaarheden in OpenSSL is het in specifieke gevallen mogelijk om door middel van een speciaal gemaakt bericht de beschikbaarheid van websites te verminderen. Voor meer details verwijzen we naar het hierboven genoemde beveiligingsadvies van het NCSC.

Wat kan ik doen?

Vanwege de technische aard van de software OpenSSL en de specifieke situatie waarin misbruik kan worden gemaakt van deze kwetsbaarheid adviseert het DTC de volgende stappen:

  • Achterhaal of je gebruikt maakt van OpenSSL (versie 1.1.1h of hoger);
  • Ben je niet in staat om zelf te achterhalen of je gebruik maakt van OpenSSL, neem dan contact op met je IT-dienstverlener of websiteleverancier;
  • Deel deze informatie met je IT-dienstverlener of websiteleverancier;
  • Vraag of dit bericht op jou van toepassing is en welke maatregelen je IT-dienstverlener of websiteleverancier heeft genomen;
  • Zorg in ieder geval dat de beschikbare updates worden doorgevoerd.