Es wurde viel über die globalen Auswirkungen von Heartbleed gesprochen. Zuerst gab es all die Beschreibungen von Heartbleed - meine Lieblingsbeschreibung stammt von xkcd. Dann sahen wir Warnungen, dass wir unsere Passwörter auf öffentlichen Websites ändern müssen. Darauf folgte eine Warnung, dass wir unsere Passwörter jetzt ändern, warten sollten, bis Websites ihre Zertifikate geändert haben, und dann unsere Passwörter erneut ändern sollten, da die privaten Schlüssel von Zertifikaten durch Ausnutzung von Heartbleed abgerufen werden könnten.
Weitaus weniger Aufmerksamkeit wurde der Tatsache gewidmet, dass viele unserer gängigen Unternehmensprodukte (z. B. Router, Firewalls, Web-Proxys) innerhalb unserer Infrastruktur ebenfalls für Heartbleed anfällig sind. Bulletins von Cisco, Juniper Networks und Blue Coat weisen darauf hin, dass OpenSSL, die Software, in der der Heartbleed-Bug steckt, in diesen Produkten weit verbreitet ist. Sogar industrielle Steuerungssysteme von Unternehmen wie Siemens weisen diese Schwachstelle auf, über die Arik Hesseldahl kürzlich auf Re/code.net schrieb. Und im Gegensatz zu öffentlichen Websites, von denen viele bereits aktualisiert wurden, um den Fehler zu beheben, trifft Sie die Verfügbarkeit und Bereitstellung von Patches für alle Ihre Infrastruktursysteme auf unerwartete Weise, einschließlich der Notwendigkeit eines Upgrades auf neuere Softwareversionen als die, die Sie wahrscheinlich verwenden, was Testzyklen erforderlich macht, bevor Sie sie bereitstellen können.
Wie besorgt sollten Sie über Heartbleed in Ihrem Netzwerk sein?
Wenn die IP-Adressen, die für die Verwaltung Ihrer Router, Firewalls und anderer Infrastruktursysteme verwendet werden, ohne VPN-Zugang aus dem Internet erreichbar sind (was als schlechte Sicherheitspraxis gilt), sollten Sie sehr besorgt sein und entweder den direkten Zugang entfernen oder Ihr System bereits gepatcht haben. Unter der Annahme, dass die Management-IP-Adressen nur von innerhalb Ihres Netzwerks erreichbar sind, sieht das Worst-Case-Szenario wie folgt aus:
- Ein Angreifer dringt über Malware oder eine andere Form des Angriffs in Ihr Netzwerk ein;
- Der Angreifer führt eine Erkundung durch und findet die Verwaltungsschnittstellen Ihrer Infrastruktursysteme;
- Der Angreifer nutzt das Vorhandensein von Heartbleed in diesen Infrastruktursystemen, um den Speicher der Systeme auszulesen und so die administrativen Anmeldedaten, mit denen er sich kürzlich bei dem System angemeldet hat, und möglicherweise sogar den privaten Schlüssel des Zertifikats, das die Verbindung sichert, abzurufen; \
- Der Angreifer verwendet die gestohlenen Anmeldedaten, um sich anzumelden und das System neu zu konfigurieren oder, falls es sich nicht nur um die Anmeldedaten des lokalen Kontos handelt, auf andere, nicht mit dem System verbundene Ressourcen zuzugreifen.
Lassen Sie uns das potenzielle Risiko Schritt für Schritt bewerten.
Schritt 1: Akzeptieren Sie, dass dies auch Ihnen passieren kann. In Unternehmen kommt es immer wieder zu Malware-Verletzungen, daher sollten wir davon ausgehen, dass dies geschehen ist oder geschehen kann.
Schritt 2: Hoffentlich verfügen Sie über eine Sicherheitslösung, die die in der Aufklärungsphase eines gezielten Angriffs durchgeführten Scans erkennt. Falls nicht, haben wir eine für Sie, die Sie evaluieren und einsetzen können.
Schritt 3: Ein Angreifer, der sich nun in Ihrem Netz befindet und Heartbleed nutzt, um sich Zugang zu Ihrem Infrastruktursystem zu verschaffen, ist natürlich sehr beunruhigend. Es wäre großartig, wenn Sie eine Sicherheitslösung hätten, die solche Angriffe in Ihrem Netzwerk aufspüren könnte. Wenn Sie keine haben, stellen wir Ihnen gerne eine zur Verfügung, die Sie evaluieren und einsetzen können ;-) Während sich ein Großteil der jüngsten Presseberichte auf den Diebstahl privater Schlüssel konzentrierte, erweist sich der Verlust des privaten Schlüssels in einem Unternehmensnetz als weniger bedrohlich.
Um den privaten Schlüssel zu verwenden, muss der Angreifer entweder andere Verbindungen zu demselben System abhören oder sich als das System ausgeben können. In den alten Tagen der Hubs, als Ethernet wirklich ein gemeinsam genutztes Medium war, konnte man den Datenverkehr eines anderen Rechners ganz einfach abhören, indem man die Netzwerkkarte in den "Promiscuous"-Modus versetzte. Bei Switches hingegen sehen Sie nur den Datenverkehr, der per Broadcast oder Multicast übertragen wird oder der für Ihren Rechner bestimmt ist.
Der klassische Weg der Imitation erfolgt über ARP-Tricks und funktioniert nur in dem Subnetz, in dem sich der Host des Angreifers befindet. Befinden sich die Verwaltungsschnittstellen der Systeme in einem anderen Subnetz, oft sogar in einem separaten VLAN, funktioniert die ARP-Impersonation nicht. Der Angreifer kann sich zwar Zugang zum privaten Schlüssel des Systems verschaffen, aber die Verfügbarkeit des privaten Schlüssels auszunutzen ist nicht so einfach, wie es scheint. Dies steht in krassem Gegensatz zu dem Problem, das öffentliche Websites mit Heartbleed haben - sie können nicht davon ausgehen, dass der Datenverkehr im Vorfeld nicht abgehört werden kann, und bei all den DNS-Tricks, die es gibt, können sie auch nicht davon ausgehen, dass jemand nicht in der Lage sein wird, sich erfolgreich als sie auszugeben.
Schritt 4: Hier beginnt die eigentliche Angst. Wenn Sie sich an bewährte Sicherheitspraktiken gehalten und die administrative Authentifizierung auf Ihren Infrastruktursystemen in eine Standard-Identitätsmanagement-Infrastruktur (z. B. Active Directory) integriert haben, sind die gestohlenen Anmeldedaten wahrscheinlich die Schlüssel zum Königreich. Sie können verwendet werden, um auf das System selbst oder auf so ziemlich alles zuzugreifen, worauf Ihre Systemadministratoren Zugriff haben.
Sie haben möglicherweise Probleme, das Ausmaß Ihrer internen Heartbleed-Angriffsfläche zu bestimmen.
Sie patchen vielleicht alle Ihre Router, Switches und Firewalls, vergessen aber, einen Drucker an einem unbekannten Ort zu patchen, der die gleiche Authentifizierungsintegration hat wie Ihre wichtigere Infrastruktur.
Es ist nur eine Frage der Zeit - und wahrscheinlich geschieht es bereits - bis wir gezielte Angriffe sehen, die Heartbleed als eine der Waffen im Arsenal der Angreifer nutzen, um an wichtige Zugangsdaten zu gelangen und diese Daten zu verwenden, um an die Kronjuwelen zu gelangen.
Mit anderen Worten: Heartbleed ist von innen genauso chaotisch wie von außen.