Noch keine endgültige Entwarnung zur Heartbleed-Lücke

Die weltweit meisten Webserver sind nicht mehr für den Heartbleed-Bug anfällig, nachdem ihre Betreiber die vom Fehler nicht betroffene Version OpenSSL 1.0.1.g installiert und auch neue Zertifikate eingespielt haben. Trotz der erheblichen Gefährdung reagierten jedoch noch immer nicht alle Serverbetreiber, wie Sicherheitsforscher herausfanden. Außerdem wurde ein erfolgreicher Angriff auf ein VPN bekannt, bei dem Heartbleed benutzt wurde.

Zehn Tage nach Bekanntwerden der Lücke überprüfte die Sicherheitsfirma Sucuri, wie umfassend die Betreiber ihre Webserver inzwischen aktualisierten. Sie scannten dafür 1 Million Websites, die Amazons Serverdienst Alexa als weltweit meistbesucht ausweist. Die 1000 führenden Sites erwiesen sich dabei als inzwischen durchweg gesichert. Bei den 10.000 meistbesuchten Sites verblieben 53 ungesicherte (0,53 Prozent). Von den 100.000 bestplatzierten Sites blieben immerhin 1,5 Prozent anfällig, von 1 Million Sites sogar 2 Prozent.

Der als Heartbleed bekannt gewordene Fehler ermöglicht den Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten im Speicher konnten Angreifer möglicherweise kritische Informationen sammeln und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschafften. Der lange ungepatchte Fehler gefährdete zahllose Anwender, da auch Nutzernamen und Passwörter ausgelesen werden konnten.

Am Freitag berichteten außerdem Sicherheitsforscher von Mandiant über eine dank Heartbleed erfolgreiche VPN-Attacke. Angreifern gelang es, die VPN-Appliance eines Kunden zu kompromittieren, die einen sicheren Zugang für Nutzer außerhalb des Firmennetzwerks ermöglichen sollte und sich dabei auf eine angreifbare Version von OpenSSL verließ. Der Angriff erfolgte schon einen Tag, nachdem die Sicherheitslücke am 7. April enthüllt wurde.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte am Mittwoch weiteren Handlungsbedarf beim Heartbleed-Bug. Auch wenn die Sicherheitslücke bei vielen betroffenen IT-Systemen und insbesondere Webservern geschlossen sei, seien noch viele Webseiten etwa von kleineren Online-Shops ohne professionellen Update-Prozess durch Angriffe verwundbar. Kritisch sei das deshalb, weil weiterhin großflächige Scans nach Servern registriert werden, die aufgrund der Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek verwundbar sind. Da viele Betreiber sich zunächst auf die Aktualisierung der Webserver konzentrierten, erfolgten Angriffe jetzt zunehmend auf andere Systeme, die OpenSSL einsetzen. Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen sowie weitere von außen erreichbare Server zu überprüfen. Die Empfehlung gilt auch für Sicherheitskomponenten wie Firewalls, die OpenSSL einsetzen.