Heartbleed-Lücke noch nicht überall geschlossen

NetzwerkeSicherheit
Heartbleed (Grafik: Codenomicon)

Die Mehrzahl der Betreiber hat ihre Webserver mittlerweile zwar abgesichert, jedoch trifft das noch nicht auf alle zu. Zudem vermelden Sicherheitsforscher eine erfolgreiche VPN-Attacke, bei der die Heartbleed-Lücke ausgenutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe jetzt vermehrt auch auf andere Systeme erfolgen, die OpenSSL verwenden.

Die Mehrzahl der weltweit eingesetzten Webserver ist nicht mehr vom Heartbleed-Bug betroffen, da ihre Betreiber die sichere OpenSSL-Version 1.0.1.g eingespielt und zudem neue Zertifikate installiert haben. Wie Sicherheitsforscher jedoch herausfanden, reagierten bislang aber immer noch nicht alle Serverbetreiber auf die beträchtliche Bedrohung, die von der Lücke ausgeht. Darüber hinaus ist nun eine erfolgreiche Attacke auf ein VPN publik geworden, bei der Heartbleed ausgenutzt wurde.

Heartbleed (Grafik: Codenomicon)

Das Sicherheitsunternehmen Sucuri überprüfte zehn Tage nach Veröffentlichung der Lücke, wie umfangreich Betreiber ihre Webserver mittlerweile mit einem sicheren Update versorgt haben. Hierfür scannten sie eine Million Webseiten, die von Amazons Serverdienst Alexa als die am weltweit meistbesuchten dokumentiert worden sind. Dabei stellten sich die 1000 führenden Sites als inzwischen ausnahmslos gesichert heraus. Demgegenüber befanden sich unter den 10.000 bestplatzierten Webseiten noch 53 ungesicherte (0,53 Prozent), während von den 100.000 meistbesuchten Sites immerhin noch 1,5 Prozent für die Lücke anfällig waren. Betrachtet man die Gesamtzahl von 1 Million untersuchten Webseiten, so weisen sogar 2 Prozent diese Schwachstelle auf.

Der als Heartbleed bekannt gewordene Bug erlaubt den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den darin enthaltenen Daten waren Angreifer möglicherweise in der Lage, kritische Informationen zu sammeln und sich sogar Zugang zu Kopien der Serverschlüssel zu verschaffen, sodass sie gegenüber Dritten den Originalserver imitieren konnten. Der lange Zeit ungepatchte Fehler gefährdete zahlreiche Anwender, da es auch möglich war, Benutzernamen und Passwörter auszulesen.

Am Freitag berichteten Sicherheitsforscher von Mandiant zudem über einen VPN-Angriff, der dank Heartbleed erfolgreich war. Angreifern gelang es, die VPN-Appliance eines Kunden zu kompromittieren, die eigentlich einen sicheren Zugang für außerhalb des Firmennetzwerks befindliche Nutzer ermöglichen sollte, sich dabei jedoch auf eine anfällige OpenSSL-Version verließ. Die Attacke erfolgte bereits einen Tag, nachdem die Sicherheitslücke am 7. April bekannt wurde.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte am Mittwoch ebenfalls weiteren Handlungsbedarf hinsichtlich des Heartbleed-Bugs. Denn auch wenn die Sicherheitslücke bei vielen betroffenen IT-Systemen und insbesondere Webservern inzwischen geschlossen sei, so seien noch viele Websites – etwa kleinere Online-Shops ohne professionellen Update-Prozess – durch Attacken verwundbar.

Dies sei deshalb kritisch, weil immer noch umfassende Scans nach Servern erfasst werden, die aufgrund der Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek anfällig sind. Da viele Betreiber sich zunächst auf die Aktualisierung der Webserver konzentrierten, erfolgten Angriffe jetzt zunehmend auch auf andere Systeme, die OpenSSL nutzen. Das BSI empfiehlt daher, E-Mail-Server, Server für Video- und Telefonkonferenzen sowie weitere von außen erreichbare Server gleichermaßen zu überprüfen. Die Empfehlung gilt ebenso für Sicherheitskomponenten, die OpenSSL einsetzen – etwa Firewalls.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen