Ein gefundenes Fressen für Angreifer: Heartbleed Schwachstelle auch nach sieben Jahren noch aktuell
Heartbeat wurde im Jahr 2012 in die bekannte OpenSSL-Software eingeführt. 2014 wurde sie als schwerwiegende Schwachstelle identifiziert und behoben. Doch auch heute – sieben Jahre später – existieren noch immer ungepatchte Systeme.
Bei einem unserer Kunden führte eine veraltete OpenSSL Version mit aktivierter Heartbeat-Erweiterung jüngst beinahe dazu, dass Benutzerdaten durch Dritte abgegriffen werden konnten. Kurz nach der Aufschaltung des Kunden wurde uns via Anomalie Machine Learning Erkennung das Event “Malformed HeartBeat Request” gemeldet. Wir informierten unseren Kunden umgehend, sodass die Schwachstelle rasch behoben werden konnte. Dieser Vorfall zeigte jedoch noch einmal deutlich, wie wichtig es ist, Patches zu installieren und Schwachstellen zu beheben.
Gerne möchten wir Ihnen nachfolgend erläutern, was sich tatsächlich hinter Heartbleed verbirgt und wie einfach diese Schwachstelle durch Angreifer ausgenutzt werden kann: Ein TLS-Protokoll (Transport-Layer-Security-Protokoll) verfügt grundsätzlich über eine sogenannte „Heartbeat-Erweiterung“. Mit dieser Erweiterung können Sie eine TLS-Verbindung aktiv halten, auch wenn schon lange keine Daten mehr darüber geflossen sind. Außerdem können beliebige Daten von bis zu 16 KByte an die Gegenseite versendet werden. Dies wird als sogenannte „Heartbeat-Anfrage“ bezeichnet. Diese Anfrage besteht aus einem sogenannten „Payload“ (meist Text) und der Größe dieses Payloads. Der antwortende Rechner sendet diese Payload dann unverändert zurück.
Auch wenn die tatsächliche Schwachstelle im dargestellten Fall vergleichsweise nur einen geringen Umfang hatte, die Auswirkungen wären bei einem erfolgreichen Angriff groß gewesen. Anstatt zu überprüfen, ob die in der Heartbeat-Anfrage gesendete Größe wirklich der tatsächlichen Größe der Payload entsprach, vertraute der antwortende Computer schlicht darauf. Ein Angreifer kann diesen Programmierfehler ausnutzen, indem er die Heartbeat-Anfrage manipuliert. So ist es beispielsweise möglich, eine Heartbeat-Anfrage mit einer 2-Byte-Payload zu senden, dem anderen Computer jedoch mitzuteilen, dass die Größe der Payload lediglich 32 KByte beträgt. Der andere Computer sendet dann die 32 KByte an Daten zurück, die sich gerade in seinem aktiven Speicher befinden. Dies kann eine Reihe nutzloser kryptischer Zahlen sein. Wenn ein Angreifer diese Anfrage z. B. an den Server einer Bank mit Online-Banking-Nutzung sendet, kann es sich jedoch auch um Passwörter oder Zahlungsdaten des Benutzers handeln.
Daher möchten wir Ihnen folgende Handlungsempfehlungen mit auf den Weg geben:
– Das Heartbleed Test Tool kann Abhilfe schaffen. Es dient zur Überprüfung, ob ein bestimmter Webserver oder Mailserver für die Heartbleed-Schwachstelle anfällig ist (CVE-2014-0160).
– Alle Versionen von OpenSSL 1.0.1 vor 1.0.1g mit aktiviertem Heartbeat (standardmäßig aktiviert) sind von diesem Bug betroffen und sollten dringend aktualisiert werden.
– Diese Sicherheitslücke wurde mittlerweile größtenteils behoben. Als Benutzer sollten Sie allerdings Passwörter, die Sie seit 2014 nicht geändert haben, sofort ändern.
-Als Betreiber eines Servers sollten Sie generell darauf achten, stets aktuelle Software zu nutzen und diese regelmäßig zu aktualisieren.