Für die kürzlich aufgedeckte Sicherheitslücke in OpenSSL existieren mittlerweile Proof-of-Concept-Exploits. Außerdem gibt es Anhaltspunkte dafür, dass die Lücke bereits ausgenutzt wurde.
Mehrere Programmierer haben Proof-of-Concept-Exploits für die Heartbleed-Lücke geschrieben. So hat Michael Davis in seinem Blog Python-Code gepostet, der versucht auf einem verwundbaren Webserver HTTP-Sessions auszulesen. Angreifer können darüber authentifizierte und vermeintlich geschützte Sessions übernehmen. Ein User mit dem Nickname Samiux hat diesen Code verändert, sodass er mit unterschiedlichen TLS-Versionen umgehen kann. Auch für das Exploit-Framework Metasploit gibt es schon ein Heartbleed-Modul.
Derweil hat die Electronic Frontier Foundation (EFF) Indizien gesammelt, die auf eine Ausnutzung der Sicherheitslücke vor deren Offenlegung hinweisen. Danach hat Terrence Koemann in seinen Logs Zugriffsmuster gefunden, die denjenigen entsprechen, die man von einem Exploit der Heartbleed-Lücke erwartet. Die damit verbundenen IP-Adressen konnten wiederum einem Bot-Netz zugeordnet werden, was einen Angriff wahrscheinlich erscheinen lässt.
Sicherheitsexperte Bruce Schneier hat in seinem Blog die OpenSSL-Sicherheitslücke als "katastrophal" bezeichnet und "auf einer Skala von 1 bis 10 als 11" eingeordnet. Unzählige SSL-Zertifikate müssten ausgetauscht werden, die CA-Stellen (Certificate Authority) seien überlastet und ob die SSL-Infrastruktur mit dem Widerruf einer halben Million von Zertifikaten zurechtkomme, sei fraglich. Auch sei es unklar, was mit den vielen Embedded-Geräten passieren soll, die den fehlerhaften OpenSSL-Code verwenden. Deren Upgrade-Pfad schließe wohl einen Gang zum Mülleimer ein. Schneider verlinkt außerdem auf eine Website, über die Anwender die Verwundbarkeit des eigenen Servers testen können.
Als Ergebnis eines Hacking-Contests ist klar: Angreifer können mithilfe der Heartbleed-Lücke die privaten SSL-Schlüssel auslesen.