Exploits für Heartbleed

11.04.2014

Für die kürzlich aufgedeckte Sicherheitslücke in OpenSSL existieren mittlerweile Proof-of-Concept-Exploits. Außerdem gibt es Anhaltspunkte dafür, dass die Lücke bereits ausgenutzt wurde.

Mehrere Programmierer haben Proof-of-Concept-Exploits für die Heartbleed-Lücke geschrieben. So hat Michael Davis in seinem Blog Python-Code gepostet, der versucht auf einem verwundbaren Webserver HTTP-Sessions auszulesen. Angreifer können darüber authentifizierte und vermeintlich geschützte Sessions übernehmen. Ein User mit dem Nickname Samiux hat diesen Code verändert, sodass er mit unterschiedlichen TLS-Versionen umgehen kann. Auch für das Exploit-Framework Metasploit gibt es schon ein Heartbleed-Modul.

Derweil hat die Electronic Frontier Foundation (EFF) Indizien gesammelt, die auf eine Ausnutzung der Sicherheitslücke vor deren Offenlegung hinweisen. Danach hat Terrence Koemann in seinen Logs Zugriffsmuster gefunden, die denjenigen entsprechen, die man von einem Exploit der Heartbleed-Lücke erwartet. Die damit verbundenen IP-Adressen konnten wiederum einem Bot-Netz zugeordnet werden, was einen Angriff wahrscheinlich erscheinen lässt.

Sicherheitsexperte Bruce Schneier hat in seinem Blog die OpenSSL-Sicherheitslücke als "katastrophal" bezeichnet und "auf einer Skala von 1 bis 10 als 11" eingeordnet. Unzählige SSL-Zertifikate müssten ausgetauscht werden, die CA-Stellen (Certificate Authority) seien überlastet und ob die SSL-Infrastruktur mit dem Widerruf einer halben Million von Zertifikaten zurechtkomme, sei fraglich. Auch sei es unklar, was mit den vielen Embedded-Geräten passieren soll, die den fehlerhaften OpenSSL-Code verwenden. Deren Upgrade-Pfad schließe wohl einen Gang zum Mülleimer ein. Schneider verlinkt außerdem auf eine Website, über die Anwender die Verwundbarkeit des eigenen Servers testen können.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Heartbleed: Private SSL-Schlüssel auslesbar

Als Ergebnis eines Hacking-Contests ist klar: Angreifer können mithilfe der Heartbleed-Lücke die privaten SSL-Schlüssel auslesen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019