Er is een ernstige kwetsbaarheid ontdekt in wolfSSL die de integriteit van domeinnaamvalidatie in gevaar brengt. CVE-2025-7395, een kritiek certificate-invoegfout in wolfSSL, kan ertoe leiden dat elke certificaat door een vertrouwde CA wordt geaccepteerd, ongeacht de domeinnaam van de server. Hierdoor kunnen aanvallers potentieel in het netwerk infiltreren zonder opgemerkt te worden.
Overzicht
Deze kwetsbaarheid treedt op wanneer wolfSSL is geconfigureerd met WOLFSSL_SYS_CA_CERTS en WOLFSSL_APPLE_NATIVE_CERT_VALIDATION. Het probleem ontstaat door onjuiste validatie van het domeinnaam van het server certificaat, waardoor een vanuit security oogpunt onveilige situatie kan ontstaan voor gebruikers.
Impacts
- CAPEC-94 Adversary in the Middle (AiTM)
- Improper Certificate Validation (CWE-295)
Aanbevelingen
- Upgrade naar wolfSSL commit
fbc483e23a3e42d5430a838230db1f8c90b88d41of nieuwer. - Laad handmatig CA-certificaten in wolfSSL in plaats van te vertrouwen op Apple native certificaatverificatie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7395?
Dit is een kritieke kwetsbaarheid die de domeinnaamvalidatie in wolfSSL compromitteert, mogelijk misbruikt voor ‘Adversary in the Middle’ (AiTM) aanvallen.
Welke systemen zijn kwetsbaar voor CVE-2025-7395?
Kwetsbare systemen zijn die draaien op MacOS, iOS, watchOS, tvOS en iPadOS met wolfSSL versies tot en met 5.8.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, een upgrade naar wolfSSL commit fbc483e23a3e42d5430a838230db1f8c90b88d41 of nieuwer lost het probleem op.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk elk certificaat dat is uitgegeven door een vertrouwde CA accepteren, ongeacht de domeinnaam. Dit kan leiden tot ‘Adversary in the Middle’ (AiTM) aanvallen.
