استعد بشكل جيد للتعامل مع الثغرة الجديدة في OpenSSL المختلفة عن الثغرة المشهورة Heartbleed فمن الممكن أن يكون لها تداعيات أمنية خطيرة
لدى المنظمات والشركات خمسة أيام للتحضير لما وصفه مشروع OpenSSL في 26 أكتوبر من عام 2022 بأنه ثغرة أمنية “حرجة” في الإصدار 3.0 وما فوق من مكتبة التشفير المستخدمة في كل مكان تقريباً لتشفير الاتصالات على الإنترنت
في يوم الثلاثاء الأول من نوفمبر من عام 2022 سيصدر المشروع إصداراً جديداً من OpenSSL (الإصدار 3.0.7) والذي سيصلح عيباً لم يتم الكشف عنه بعد في الإصدارات الحالية وستحدد خصائص الثغرة الأمنية والطريقة التي يمكن استغلالها لتتمكن مختلف الجهات من معالجة المشكلة
الآثار الخطيرة المحتملة:
من المرجح أن يكون لدى بائعي أنظمة التشغيل الرئيسية وناشري البرامج وموفري خدمات البريد الإلكتروني وشركات التكنولوجيا التي قامت بدمج OpenSSL في منتجاتها وخدماتها إصدارات محدثة من تقنياتهم بالتزامن مع كشف مشروع OpenSSL عن الخلل يوم الثلاثاء المقبل و لكن هذا الأمر سيترك ملايين آخرين (بما في ذلك الوكالات الفيدرالية والشركات الخاصة ومقدمي الخدمات ومصنعي أجهزة الشبكات وعدد لا يحصى من مشغلي مواقع الويب) أمام موعد نهائي يلوح في الأفق للعثور على الثغرة الأمنية وإصلاحها قبل أن يبدأ المهاجمون باستغلالها
إذا تبين أن الثغرة الأمنية الجديدة خطيرة بشكل مشابه لثغرة Heartbleed (وهي ثغرة سابقة كانت تؤثر على OpenSSL ) فستكون شبكة الانترنت بأكملها تحت التهديد وبحاجة لمعالجة المشكلة في أسرع وقت ممكن
ثغرة Heartbleed (CVE-2014-0160) والتي تم الكشف عنها في عام 2014 أعطت بشكل أساسي للمهاجمين طريقة للتنصت على اتصالات الإنترنت وسمحت لهم بسرقة البيانات من الخدمات والمستخدمين كما سمحت لهم بتنفيذ هجمات انتحال الشخصية لخدمات مختلفة، كان الخطأ موجود في إصدارات OpenSSL من مارس 2012 فصاعداً وأثر على مجموعة واسعة من التقنيات بما في ذلك سيرفرات الويب المستخدمة على نطاق واسع مثل Nginx, Apache, and IIS ومنظمات وشركات كبيرة مثل Google, Akamai, CloudFlare, and Facebook بالإضافة لسيرفرات البريد الإلكتروني وخدمات المحادثة وأجهزة الشبكة من شركات مثل Cisco والشبكات الخاصة الافتراضية VPN
أثار الكشف عن هذا الخطأ نوبة من النشاط العلاجي من مختلف الجهات المعنية وأثارت مخاوف من تسويات كبيرة، كما أشار موقع Heartbleed.com فقد استحوذت تطبيقات سيرفرات الويبApache and Nginx وحدهما على حصة سوقية تزيد عن 66٪ من المواقع النشطة على الإنترنت في وقت الكشف عن ثغرة Heartbleed
إلى الآن ليس هناك من يخبرنا (حتى يوم الثلاثاء الأول من نوفمبر لعام 2022 على الأقل) ما إذا كان الخلل الجديد سيكون مثل Heartbleed ولكن نظراً للاستخدام المهم للبنية التحتية لـ OpenSSL لتشفير الاتصالات عبر الإنترنت فمن الأفضل للمؤسسات عدم التقليل من شأن هذا التهديد
يجب أن تستعد الشركات بشكل جيد:
وفقاً ل Johannes Ullrich عميد الأبحاث في معهد SANS : من الصعب بعض الشيء التكهن بالتأثير ولكن التجربة السابقة أظهرت أن OpenSSL لا يستخدم تسمية “حرجة” لأمر بسيط التأثير
يُستخدم الإصدار 3.0 وهو الإصدار الحالي من OpenSSL في العديد من أنظمة التشغيل الحالية مثل Ubuntu 22.04 LTS, MacOS Mavericks, and Ventura لذا على المؤسسات أن تتوقع تلقي تحديثات تحوي على إصلاحات خاصة بتوزيعات Linux بشكل سريع وبنفس الوقت الذي نشرته OpenSSL يوم الثلاثاء القادم
ولكن يجب أن تستعد المؤسسات الآن لمعرفة الأنظمة التي تستخدم OpenSSL 3.0 ، قدم OpenSSL هذه الإعلانات المسبقة عن تصحيحات الأمان لمساعدة المنظمات في الاستعداد للتعامل مع هذا الخلل ،لذا استغل هذا الوقت لمعرفة ما الذي يحتاج إلى إصلاح
ووفقاً ل Brian Fox الشريك المؤسس ورئيس قسم التكنولوجيا في Sonatype فإنه إلى أن يحين الوقت الذي يكشف فيه مشروع OpenSSL عن هذا الخطأ يوم الثلاثاء 1/11/2022 تحتاج المؤسسات إلى تحديد ما إذا كانت تستخدم إصداراً مصاباً بهذه الثغرة وفي أي مكان ضمن الأنظمة الخاصة بها أو ضمن التطبيقات التي تستخدمها والاستعداد بشكل جيد لمعالجة هذه المشكلة
أي تطبيق يتصل بالإنترنت بشكل آمن يمكن أن يحتوي على OpenSSL مدمج بداخله وقد لا يقتصر الأمر على البرامج ومن الممكن أن تتأثر الأجهزة أيضاً، لذا يجب أن يمنح الإشعار المسبق المقدم من مشروع OpenSSL المؤسسات الوقت للاستعداد والعثور على كل البرامج أو الأجهزة التي تحوي على الإصدار المصاب (يجب القيام بهذا الأمر الآن) وبعد ذلك سيتم تطبيق التصحيح أو تحديد مصادر التحديثات من البائعين الرئيسيين، كل ما يمكنك فعله في الوقت الحالي هو جرد الأصول التي من الممكن أن تكون مصابة
