Was Sie über Heartbleed wissen müssen| NETSCOUT

Was Sie über Heartbleed wissen müssen

Anbieter und Standortadministratoren beeilen sich, den weit offenen Krater zu schließen, den Heartbleed hinterlassen hat, eine extern ausnutzbare Sicherheitslücke in der OpenSSL Crypto-Bibliothek, die häufig zum Aktivieren von TLS-Sitzungen verwendet wird. Aber Heartbleed betrifft nicht nur Webserver. Angesichts des weit verbreitenden Gebrauchs von OpenSSL in einer Vielzahl von Netzwerkprodukten und der bereits zweijährigen Existenz dieses TLS-Implementierungs-Bugs sind die Angriffsfläche und die möglichen Auswirkungen von Heartbleed bedeutend.
 
Was ist Heartbleed?
Heartbleed bezieht sich auf eine vor kurzem entdeckte Schwachstelle im TLS Heartbeat-Protokoll, das in OpenSSL enthalten ist. Wenn ein TLS-Server, der eine angreifbare Version von OpenSSL (1.0.1 bis 1.0.1f) verwendet, eine Heartbeat-Extension-Mitteilung empfängt, die einen Puffer-Überlauf verursachen soll, reagiert der Server mit bis zu 64 KB von zufallsgewähltem Speicherinhalt.
 
Entsprechend CVE-2014-0160 wurde festgestellt, dass Heartbeat-Antworten sensible Daten enthalten haben, einschließlich private Server-Zertifikatschlüssel, TLS-Sitzungsschlüssel, Benutzer-Logins/Kennwörter und Nachrichteninhalte. Ein Angreifer könnte viele Heartbeat-Anfragen aussenden, um einen bedeutenden Teil eines Serverspeichers zu erfassen, ohne Misstrauen zu erwecken. Der Antrag wird verschlüsselt und nicht von OpenSSL aufgezeichnet. Jedoch wäre es für einen IPS möglich, besonders häufige und lange TLS-Heartbeat-Antworten zu ermitteln/blockieren.
 
Weitere Informationen zum Heartbleed-Bug, betroffene Versionen von OpenSSL und Methoden zum Beheben sind hier erhältlich:
 
 
Warum sollte Heartbleed mich interessieren?
Der Schaden, der möglicherweise durch Heartbleed erfolgt ist, ist umfangreich, weil TLS-Server und -kunden große Mengen vertrauliche Informationen mit möglicherweise langer Nutzungsdauer für die Hacker verarbeiten.
 
Wenn zum Beispiel Heartbleed zum Sammeln von primären Schlüsselmaterialien für ein X.509-Zertifikat verwendet würde, könnte diesem Zertifikat nicht mehr für die Server-Authentisierung vertraut werden. Eine Erneuerung des Zertifikats würde dieses Risiko nicht mindern - das Zertifikat muss widerrufen, neu ausgegeben und neu installiert werden.
 
Wenn Heartbleed Administrations-Verwaltungspassworte oder über eine TLS-verschlüsselte Sitzung gesendete Benutzerberechtigungen sammeln könnte, könnten diese gestohlenen Berechtigungen benutzt werden, um Benutzerkonten und dazugehörige Profile und gespeicherte Daten zu gefährden. Würde Heartbleed dazu verwendet, TLS-Sitzungsschlüssel zu sammeln, könnte mit diesen Schlüsseln jederzeit erfasster Sitzungsdatenverkehr entschlüsselt werden. Und so weiter...
 
Außerdem ist der Heartbleed-Bug bereits seit etwa zwei Jahren im OpenSSL-Code, was ein bedeutendes Zeitfenster für die Ausnutzung bereitstellte. Entwickler können jetzt Maßnahmen ergreifen, um den Bug zu beseitigen - entweder durch die Aktualisierung von OpenSSL oder durch das Recompilieren des betroffenen Codes mit der Konfigurationsoption -DNO_OPENSSL_HEARTBEATS. Jedoch kann nichts getan werden, um bereits gesammelte Daten rückwirkend zu identifizieren. Statt dessen müssen wir u.U. einfach voraussetzen, dass Implementierungen mit anfälligen Versionen von OpenSSL von jemandem ausgenutzt wurden.
 
Warum? Gemäß http://www.heartbleed.com verwenden weit verbreitete Open Source-Webserver wie Apache und nginx verletzbare Versionen von OpenSSL; diese Software läuft jetzt auf über 66 % der aktiven Internet-Websites. Darüber hinaus wird OpenSSL von vielen SMTP-/POP/IMAP-E-Mail-Servern, SSL VPN-Gateways und Netzwerkgeräten - einschließlich WLAN-Routern, APs, Controllern und zugehöriger Infrastruktur verwendet.
 
Wie könnte Heartbleed die Sicherheit meines WLANs beeinträchtigen? 
WLAN-Produkte, die über HTTPS verwaltet werden können, sind möglicherweise für Heartbleed anfällig. Dies schließt wahrscheinlich viele drahtlose Heim-Router ein, die über die Netzschnittstellen gemanagt werden, die über OpenSSL gesichert werden. Es schließt möglicherweise auch remote verwaltete APs und WLAN-Controller ein, die OpenSSL-Bibliotheken verwenden, entweder, um Verwaltungsschnittstellen zu sichern, oder um integrierte Gastzugangsportale zu sichern. Achten Sie daher auf Sicherheitsmitteilungen und Firmware-Aktualisierungen, die von Ihren WLAN-Produktlieferanten herausgegeben werden, und ergreifen Sie Maßnahmen zum Minimieren des Risikos, in der Zwischenzeit von diesem Bug ausgenutzt zu werden, wie zum Beispiel das Deaktivieren des Remote-WLAN-Managements oder die Anwendung von ACLs.
 
Darüber hinaus müssen möglicherweise X.509 Server und die Kundenzertifikate, die unter mittels OpenSSL erzeugt wurden und für WPA2-Enterprise 802.1X Authentisierung benutzt werden, widerrufen und neu ausgegeben werden. Sehen Sie sich das CA-System oder den Service an, mit dem sie erstellt wurden, um die Heartbleed-Anfälligkeit sowie alle anfälligen Systeme zu bewerten, in denen diese Zertifikate zusammen mit dem privaten Schlüssel des Zertifikats benutzt worden sind.
 
Außerdem, wenn anfällige Netzwerkgeräte identifiziert werden, betrachten Sie die Bescheinigungen und die Einstellungen, die möglicherweise in der Vergangenheit erfasst worden sind und ergreifen Sie geeignete Maßnahmen, um zukünftigen Missbrauch dieser Informationen abzuwehren. So kann ein anfälliger AP oder WLAN-Controller auch andere im Speicher verwahrte Admin-Logins/Kennwörter oder Konfigurationsdetails wie zur Authentisierung von WPA2-Personal verwendete PSK verraten.
 
Wenn Ihre Organisation Software entwickelt, die die OpenSSL-Bibliothek verwendet, müssen Sie schnell zu einer festen Version von OpenSSL aufrüsten und/oder TLS-Heartbeats wie oben beschrieben herauskompilieren. Tools sind zur Zeit im Umlauf für den Pentest Ihres eigenen Codes/Servers auf diese Anfälligkeit gegen Heartbleed (siehe http://www.heartbleed.com).
 
Und schließlich setzen Sie Ihre Sicherheits- und Überwachungssysteme wirksam ein, um ein Auge auf den Datenverkehr zu halten - nicht nur auf den ungewöhnlichen TLS-Datenverkehr oder lange TLS-Heartbeats, sondern auch auf ungewöhnliche Admin- oder Benutzer-Logins oder andere Verhaltensweisen, die den Gebrauch von vorher gesammelten Informationen signalisieren können. Kurz gesagt: Setzen Sie sich und Ihr Netzwerk auf höchste Alarmstufe, bis sich der Staub legt und weitere Einzelheiten über mögliche Auswirkungen und Konsequenzen bekannt werden.

 

 
 
Powered By OneLink