Một phân tích về chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự hiện diện của các phiên bản lỗi thời của thư viện mật mã OpenSSL, qua đó nhấn mạnh rủi ro chuỗi cung ứng.

OpenSSL vừa phát hành bản vá cho 2 lỗ hổng nghiêm trọng trong thư viện mã nguồn mở được dùng để mã hóa các kênh giao tiếp và kết nối HTTPS.

Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS. Chúng được sử dụng rộng rãi nhằm phục vụ đa số các website trong các máy chủ web Internet. Là phương thức bảo mật được sử dụng phổ biến nhất, OpenSSL luôn phải đối mặt với những nguy cơ bảo mật.

Vào ngày 29/3, QNAP - nhà sản xuất các thiết bị Network-Attached Storage (NAS) có trụ sở tại Đài Loan đã lên tiếng cảnh báo rằng, một số thiết bị NAS của họ bị ảnh hưởng bởi một lỗi OpenSSL nghiêm trọng.

CSKH-02.2017 - (Tóm tắt) Trong [1] và [5], các tác giả đã chỉ ra các tấn công lên TLS mà sử dụng bộ sinh số giả ngẫu nhiên Dual EC với giả định kẻ tấn công biết hoặc tạo ra các backdoor trong bộ sinh này. Các tấn công trong [1] và [5] không những có thể khôi phục được các giá trị giả ngẫu nhiên đã được tạo ra bằng bộ sinh Dual EC mà các tấn công này còn có thể biết được các giá trị đầu ra tiếp theo. Trong bài báo này, chúng đề xuất hai phương thức thực hiện vẫn có thể sử dụng bộ sinh Dual EC nhưng tránh được các tấn công kể trên. Cụ thể, đề xuất thứ nhất của chúng tôi nhằm tránh tồn tại backdoor trong bộ sinh Dual EC. Trong khi đó, đề xuất còn lại có thể tránh được các tấn công cho dù tồn tại backdoor và kẻ tấn công biết được backdoor đó.

Với sự phát triển bùng nổ của công nghệ thông tin (CNTT), con người ngày càng sử dụng nhiều loại thiết bị kết nối Internet để phục vụ nhu cầu cuộc sống. Điều này đã làm tăng đáng kể các phương pháp tấn công cho tội phạm trực tuyến, nhất là việc khai thác lỗ hổng trên các thiết bị kết nối Internet của người dùng. Chẳng hạn như việc tích hợp các công cụ Ubuntu Linux vào Windows 10 có thể trở thành một hướng mới cho các cuộc tấn công đa nền tảng, như các lỗ hổng bảo mật thường thấy trong Java hoặc trong các trình duyệt web.... Do đó, lỗ hổng bảo mật vẫn là mối quan tâm hàng đầu đối với việc đảm bảo an toàn, an ninh thông tin mạng.

Phương thức triển khai TLS được sử dụng phổ biến nhất có thể bị tấn công DROWN là OpenSSL.

Một dạng tấn công mới xuất hiện và đặc biệt nguy hiểm đối với các hệ điều hành Linux/Unix, đó là tấn công với tên gọi Shellshock dựa trên một lỗ hổng an toàn của hệ vỏ Bash trong Linux/Unix. Sau khi xem xét lịch sử mã nguồn, người ta đã phát hiện rằng lỗ hổng an toàn này đã tồn tại từ nhiều năm trước đây. Tuy nhiên, tấn công khai thác lỗ hổng này mới chỉ được công bố rộng rãi trên thế giới từ tháng 9/2014. Ngoài ra, còn có một số lỗ hổng an toàn khác trong Linux kernel.