Kurzinfo
Server, die bestimmte OpenSSL-Versionen benutzen, weisen bei der TLS-Extension "heartbeat" eine Verwundbarkeit auf. Diese kann dazu erheblichen Vertraulichkeitsverlusten führen.
ACOnet-CERT testet im Rahmen seiner Möglichkeiten (best effort) im ACOnet erreichbare Rechner auf aus Vorliegen der Schwachstelle und verständigt ggf. den Security-Kontakt der betroffenen Institution. Neben dem Webserver (port 443) werden seit 11.4. auch Mailserver (ports 25, 110, 143, 587, 993, 995) und einige andere getestet.
Treffsicherheit
Hoch.
Beschreibung
Die Schwachstelle ermöglicht Angreifern, den Arbeitssppeicher des Serverprozesses auszulesen.
Das kann u.A. den Vertraulichkeitsverlust von Anwendungsdaten und Systemdaten wie dem private Key des Servers bedeuten.
Anwendungsdaten aus vorhergehenden Verbindungen
Wenn Verbindung mit Server aufgebaut wird, enthält dessen Arbeitsspeicher häufig (naturgemäß unverschlüsselte) Daten aus früheren Verbindungen. Durch die Heartbleed-Schwachstelle werden diese allerdings zugänglich, das u.A. können sein:
- Usernamen und Passwörter, die z.B. in Webmasken eingegeben wurden, Session-Cookies
- abgerufene Inhalte
- Benutzereingaben
Systemdaten
Hier ist vor allem der private Key des Servers zu nennen. Angreifer könnnen damit abgehörte Verbindungen entschlüsseln oder sich im Rahmen eines Man-In-The-Middle-Angriffs unbemerkt in eine verschlüsselte Verbindung einklinken.
Welche Systeme sind betroffen?
Die Schwachstelle Heartbleed (CVE-2014-0160) betrifft grundsätzlich alle Services, die die TLS-Implementation OpenSSL in einer der Versionen von 1.01 (März 2012) bis 1.01f (aktuell bis April 2014)[1].
OpenSSL ist eine weitverbreitete Implementation von TLS, die zum Beispiel von Webservern, Mailservern, XMPP-Servern verwendet wird.
Sind bereits erfolgte Angriffe erkennbar?
Anhand der normalen Logfiles lassen sich Angriffe auf die Heartbleed-Schwachstelle nicht erkennen. Die Schwachstelle hat über zwei Jahre unbemerkt bestanden. Es ist nicht festzustellen, ob sie bereits vor ihrer Behebung im April 2014 entdeckt und ausgenutzt wurde. Das macht die mit der Schwachstelle verbundenen Risiken schwer kalkulierbar.
Was ist zu tun?
Advisories und verschiedene Security-Experten empfehlen eine Reihe von Maßnahmen. Da diese zum Teil erhebliche betriebliche Auswirkungen haben, muss jede Organisation selbst über ihre Umsetzung entscheiden.
- Schließen der Schwachstelle
- Installation neuer TLS-Zertifikate und Widerruf (Revocation) der alten
- Änderung sämtlicher Passwörter, die in den vergangenen zwei Jahren über verwundbare Services transportiert wurden.
Links
Advisory von CERT.at: http://cert.at/warnings/all/20140408.html
FAQ von CERT.at: http://www.cert.at/warnings/specials/20140411.html
Beschreibung der Schwachstelle: https://heartbleed.com
Online-Tests für die SSL-Implementierung, die u.a. den Heartbleed-Bug testen:
- https://www.ssllabs.com/ssltest/analyze.html - Qualsys SSL Labs SSL Server Test
- https://sslanalyzer.comodoca.com/ - COMODO SSL Analyzer
Erfahrungen
Stellungnahme univie: https://zid.univie.ac.at/startseite/news-detailansicht/article/sicherheitsluecke-heartbleed/