Noch keine endgültige Entwarnung zur Heartbleed-Lücke

Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen.

Die weltweit meisten Webserver sind nicht mehr für den Heartbleed-Bug anfällig, nachdem ihre Betreiber die vom Fehler nicht betroffene Version OpenSSL 1.0.1.g installiert und auch neue Zertifikate eingespielt haben. Trotz der erheblichen Gefährdung reagierten jedoch noch immer nicht alle Serverbetreiber, wie Sicherheitsforscher herausfanden. Außerdem wurde ein erfolgreicher Angriff auf ein VPN bekannt, bei dem Heartbleed benutzt wurde.

OpenSSL-Bug Heartbleed

Zehn Tage nach Bekanntwerden der Lücke überprüfte die Sicherheitsfirma Sucuri, wie umfassend die Betreiber ihre Webserver inzwischen aktualisierten. Sie scannten dafür 1 Million Websites, die Amazons Serverdienst Alexa als weltweit meistbesucht ausweist. Die 1000 führenden Sites erwiesen sich dabei als inzwischen durchweg gesichert. Bei den 10.000 meistbesuchten Sites verblieben 53 ungesicherte (0,53 Prozent). Von den 100.000 bestplatzierten Sites blieben immerhin 1,5 Prozent anfällig, von 1 Million Sites sogar 2 Prozent.

Der als Heartbleed bekannt gewordene Fehler ermöglicht den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher konnten Angreifer möglicherweise kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschafften. Der lange ungepatchte Fehler gefährdete zahllose Anwender, da auch Nutzernamen und Passwörter ausgelesen werden konnten.

Am Freitag berichteten außerdem Sicherheitsforscher von Mandiant über eine dank Heartbleed erfolgreiche VPN-Attacke. Angreifern gelang es, die VPN-Appliance eines Kunden zu kompromittieren, die einen sicheren Zugang für Nutzer außerhalb des Firmennetzwerks ermöglichen sollte und sich dabei auf eine angreifbare Version von OpenSSL verließ. Der Angriff erfolgte schon einen Tag, nachdem die Sicherheitslücke am 7. April enthüllt wurde.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte am Mittwoch weiteren Handlungsbedarf beim Heartbleed-Bug. Auch wenn die Sicherheitslücke bei vielen betroffenen IT-Systemen und insbesondere Webservern geschlossen sei, seien noch viele Webseiten etwa von kleineren Online-Shops ohne professionellen Update-Prozess durch Angriffe verwundbar. Kritisch sei das deshalb, weil weiterhin großflächige Scans nach Servern registriert werden, die aufgrund der Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek verwundbar sind. Da viele Betreiber sich zunächst auf die Aktualisierung der Webserver konzentrierten, erfolgten Angriffe jetzt zunehmend auf andere Systeme, die OpenSSL einsetzen. Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen sowie weitere von außen erreichbare Server zu überprüfen. Die Empfehlung gilt auch für Sicherheitskomponenten wie Firewalls, die OpenSSL einsetzen.

HIGHLIGHT

Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

Die von ZDNet untersuchten Provider haben nun alle den Patch für die OpenSSL-Lücke eingespielt, sodass ein Angriff über die Heartbleed-Schwachstelle nicht mehr möglich ist. Auch die Zertifikate wurden erneuert. Nutzer können nun ihre Passwörter ändern.

Neueste Kommentare 

Noch keine Kommentare zu Noch keine endgültige Entwarnung zur Heartbleed-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *