Exploits für Heartbleed

11.04.2014

Für die kürzlich aufgedeckte Sicherheitslücke in OpenSSL existieren mittlerweile Proof-of-Concept-Exploits. Außerdem gibt es Anhaltspunkte dafür, dass die Lücke bereits ausgenutzt wurde.

Mehrere Programmierer haben Proof-of-Concept-Exploits für die Heartbleed-Lücke geschrieben. So hat Michael Davis in seinem Blog Python-Code gepostet , der versucht auf einem verwundbaren Webserver HTTP-Sessions auszulesen. Angreifer können darüber authentifizierte und vermeintlich geschützte Sessions übernehmen. Ein User mit dem Nickname Samiux hat diesen Code verändert , sodass er mit unterschiedlichen TLS-Versionen umgehen kann. Auch für das Exploit-Framework Metasploit gibt es schon ein Heartbleed-Modul .

Derweil hat die Electronic Frontier Foundation (EFF) Indizien gesammelt , die auf eine Ausnutzung der Sicherheitslücke vor deren Offenlegung hinweisen. Danach hat Terrence Koemann in seinen Logs Zugriffsmuster gefunden, die denjenigen entsprechen, die man von einem Exploit der Heartbleed-Lücke erwartet. Die damit verbundenen IP-Adressen konnten wiederum einem Bot-Netz zugeordnet werden, was einen Angriff wahrscheinlich erscheinen lässt.

Sicherheitsexperte Bruce Schneier hat in seinem Blog die OpenSSL-Sicherheitslücke als "katastrophal" bezeichnet und "auf einer Skala von 1 bis 10 als 11" eingeordnet. Unzählige SSL-Zertifikate müssten ausgetauscht werden, die CA-Stellen (Certificate Authority) seien überlastet und ob die SSL-Infrastruktur mit dem Widerruf einer halben Million von Zertifikaten zurechtkomme, sei fraglich. Auch sei es unklar, was mit den vielen Embedded-Geräten passieren soll, die den fehlerhaften OpenSSL-Code verwenden. Deren Upgrade-Pfad schließe wohl einen Gang zum Mülleimer ein. Schneider verlinkt außerdem auf eine Website , über die Anwender die Verwundbarkeit des eigenen Servers testen können.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Heartbleed: Private SSL-Schlüssel auslesbar

Als Ergebnis eines Hacking-Contests ist klar: Angreifer können mithilfe der Heartbleed-Lücke die privaten SSL-Schlüssel auslesen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022