Heartbleed-Schwachstelle: Risiken innerhalb Ihres Netzwerks

2. Mai 2014

Heartbleed-Schwachstelle: Risiken innerhalb Ihres Netzwerks

Es wurde viel über die globalen Auswirkungen von Heartbleed gesprochen. Zuerst gab es all die Beschreibungen von Heartbleed - meine Lieblingsbeschreibung stammt von xkcd. Dann sahen wir Warnungen, dass wir unsere Passwörter auf öffentlichen Websites ändern müssen. Darauf folgte eine Warnung, dass wir unsere Passwörter jetzt ändern, warten sollten, bis Websites ihre Zertifikate geändert haben, und dann unsere Passwörter erneut ändern sollten, da die privaten Schlüssel von Zertifikaten durch Ausnutzung von Heartbleed abgerufen werden könnten.

Weitaus weniger Aufmerksamkeit wurde der Tatsache gewidmet, dass viele unserer gängigen Unternehmensprodukte (z. B. Router, Firewalls, Web-Proxys) innerhalb unserer Infrastruktur ebenfalls für Heartbleed anfällig sind. Bulletins von Cisco, Juniper Networks und Blue Coat weisen darauf hin, dass OpenSSL, die Software, in der der Heartbleed-Bug steckt, in diesen Produkten weit verbreitet ist. Sogar industrielle Steuerungssysteme von Unternehmen wie Siemens weisen diese Schwachstelle auf, über die Arik Hesseldahl kürzlich auf Re/code.net schrieb. Und im Gegensatz zu öffentlichen Websites, von denen viele bereits aktualisiert wurden, um den Fehler zu beheben, trifft Sie die Verfügbarkeit und Bereitstellung von Patches für alle Ihre Infrastruktursysteme auf unerwartete Weise, einschließlich der Notwendigkeit eines Upgrades auf neuere Softwareversionen als die, die Sie wahrscheinlich verwenden, was Testzyklen erforderlich macht, bevor Sie sie bereitstellen können.

*Wie der Heartbleed-Bug funktioniert von* *xkcd*

Bewertung der Heartbleed-Schwachstelle in internen Netzwerken

Wenn die IP-Adressen, die für die Verwaltung Ihrer Router, Firewalls und anderer Infrastruktursysteme verwendet werden, ohne VPN-Zugang aus dem Internet erreichbar sind (was als schlechte Sicherheitspraxis gilt), sollten Sie sehr besorgt sein und entweder den direkten Zugang entfernen oder Ihr System bereits gepatcht haben. Unter der Annahme, dass die Management-IP-Adressen nur von innerhalb Ihres Netzwerks erreichbar sind, sieht das Worst-Case-Szenario wie folgt aus:

Ein Angreifer dringt über malware oder eine andere Form des Angriffs in Ihr Netzwerk ein;
Der Angreifer führt eine Erkundung durch und findet die Verwaltungsschnittstellen Ihrer Infrastruktursysteme;
Der Angreifer nutzt das Vorhandensein von Heartbleed in diesen Infrastruktursystemen, um den Speicher der Systeme auszulesen und so die administrativen Anmeldedaten, mit denen er sich kürzlich bei dem System angemeldet hat, und möglicherweise sogar den privaten Schlüssel des Zertifikats, das die Verbindung sichert, abzurufen; \
Der Angreifer verwendet die gestohlenen Anmeldedaten, um sich anzumelden und das System neu zu konfigurieren oder, falls es sich nicht nur um die Anmeldedaten des lokalen Kontos handelt, auf andere, nicht mit dem System verbundene Ressourcen zuzugreifen.

Schritt-für-Schritt-Bewertung des Heartbleed-Schwachstellenrisikos

Schritt 1: Annahme eines Kompromisses

‍AkzeptierenSie, dass dies auch Ihnen passieren kann; Organisationen haben ständig malware Verletzungen, also sollten wir davon ausgehen, dass dies geschehen ist oder geschehen kann.

Schritt 2: Implementierung einer Lösung zur Erkennung von Bedrohungen

Hoffentlich verfügen Sie über eine Sicherheitslösung, die die in der Aufklärungsphase eines gezielten Angriffs durchgeführten Scans erkennt. Falls nicht, haben wir eine für Sie, die Sie evaluieren und einsetzen können.

Schritt 3: Schutz vor internen Heartbleed-Exploits

Ein Angreifer, der nun in Ihr Netzwerk eindringt und Heartbleed nutzt, um sich Zugang zu Ihrem Infrastruktursystem zu verschaffen, ist natürlich sehr beunruhigend. Es wäre großartig, wenn Sie eine Sicherheitslösung hätten, die solche Angriffe in Ihrem Netzwerk aufspüren könnte. Wenn Sie keine haben, stellen wir Ihnen gerne eine zur Verfügung, die Sie evaluieren und einsetzen können ;-) Während sich ein Großteil der jüngsten Presseberichte auf den Diebstahl privater Schlüssel konzentrierte, erweist sich der Verlust des privaten Schlüssels in einem Unternehmensnetz als weniger bedrohlich.

Um den privaten Schlüssel zu verwenden, muss der Angreifer entweder andere Verbindungen zu demselben System abhören oder sich als das System ausgeben können. In den alten Tagen der Hubs, als Ethernet wirklich ein gemeinsam genutztes Medium war, konnte man den Datenverkehr eines anderen Rechners ganz einfach abhören, indem man die Netzwerkkarte in den "Promiscuous"-Modus versetzte. Bei Switches hingegen sehen Sie nur den Datenverkehr, der per Broadcast oder Multicast übertragen wird oder der für Ihren Rechner bestimmt ist.

Der klassische Weg der Imitation erfolgt über ARP-Tricks und funktioniert nur in dem Subnetz, in dem sich der Host des Angreifers befindet. Befinden sich die Verwaltungsschnittstellen der Systeme in einem anderen Subnetz, oft sogar in einem separaten VLAN, funktioniert die ARP-Impersonation nicht. Der Angreifer kann sich zwar Zugang zum privaten Schlüssel des Systems verschaffen, aber die Verfügbarkeit des privaten Schlüssels auszunutzen ist nicht so einfach, wie es scheint. Dies steht in krassem Gegensatz zu dem Problem, das öffentliche Websites mit Heartbleed haben - sie können nicht davon ausgehen, dass der Datenverkehr im Vorfeld nicht abgehört werden kann, und bei all den DNS-Tricks, die es gibt, können sie auch nicht davon ausgehen, dass jemand nicht in der Lage sein wird, sich erfolgreich als sie auszugeben.

Schritt 4: Verwaltung von Anmeldedaten und Identitätssicherheit

An dieser Stelle setzt die eigentliche Angst ein. Wenn Sie sich an bewährte Sicherheitspraktiken gehalten und die administrative Authentifizierung auf Ihren Infrastruktursystemen in eine Standard-Identitätsmanagement-Infrastruktur (z. B. Active Directory) integriert haben, sind die gestohlenen Anmeldedaten wahrscheinlich die Schlüssel zum Königreich. Sie können verwendet werden, um auf das System selbst oder auf so ziemlich alles zuzugreifen, worauf Ihre Systemadministratoren Zugriff haben.

Identifizierung der Heartbleed-Angriffsfläche in Ihren internen Netzwerken

Sie patchen vielleicht alle Ihre Router, Switches und Firewalls, vergessen aber, einen Drucker an einem unbekannten Ort zu patchen, der die gleiche Authentifizierungsintegration hat wie Ihre wichtigere Infrastruktur.

Es ist nur eine Frage der Zeit - und wahrscheinlich geschieht es bereits - bis wir gezielte Angriffe sehen, die Heartbleed als eine der Waffen im Arsenal der Angreifer nutzen, um an wichtige Zugangsdaten zu gelangen und diese Daten zu verwenden, um an die Kronjuwelen zu gelangen.

Mit anderen Worten: Heartbleed ist von innen genauso chaotisch wie von außen.

Möchten Sie mehr erfahren?

Vectra® ist der führende Anbieter von KI-gesteuerter hybrider cloud Bedrohungserkennung und -bekämpfung. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud-basiert. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um sich gegen ransomware, Kompromittierungen der Lieferkette, Identitätsübernahmen und andere Cyberangriffe zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns

Häufig gestellte Fragen

Was ist Heartbleed (CVE-2014-0160)?

Heartbleed ist ein Sicherheitsfehler in der OpenSSL-Bibliothek, der es Angreifern ermöglicht, sensible Daten aus dem Speicher eines Servers zu lesen.

Welche Schritte sollten unternommen werden, um Heartbleed in internen Systemen zu patchen?

Um Heartbleed zu beheben, sollten Unternehmen ihre OpenSSL-Bibliotheken auf die neueste Version aktualisieren, die den Fehler behebt. Darüber hinaus sollten sie SSL/TLS-Zertifikate widerrufen und neu ausstellen sowie Passwörter zurücksetzen, um sicherzustellen, dass keine kompromittierten Anmeldeinformationen verwendet werden.

Wie können Angreifer Heartbleed in internen Netzwerken ausnutzen?

Angreifer nutzen Heartbleed aus, indem sie manipulierte Anfragen an einen anfälligen Server senden, der daraufhin mit sensiblen Daten aus seinem Speicher antwortet. Dazu können Benutzernamen, Kennwörter, private Schlüssel und andere vertrauliche Informationen gehören.

Wie können Sicherheitslösungen dazu beitragen, die Heartbleed-Risiken zu mindern?

Sicherheitslösungen wie Intrusion-Detection-Systeme (IDS), Firewalls und Tools zur Verwaltung von Schwachstellen können dabei helfen, Heartbleed-Exploits zu erkennen und zu blockieren. Regelmäßige Updates und Patches für diese Lösungen sind wichtig, um vor bekannten Schwachstellen zu schützen.

Gab es in letzter Zeit Vorfälle mit Heartbleed-Exploits?

Während Heartbleed im Jahr 2014 am bekanntesten war, kommt es immer noch gelegentlich zu Zwischenfällen, wenn Systeme nicht gepatcht sind. Die regelmäßige Beobachtung von Sicherheitshinweisen und Berichten über Vorfälle hilft dabei, über aktuelle Sicherheitslücken informiert zu bleiben.

Wie können Unternehmen Heartbleed-Schwachstellen in ihrem Netzwerk erkennen?

Unternehmen können Heartbleed-Schwachstellen erkennen, indem sie Schwachstellen-Scanner und Tools verwenden, die auf das Vorhandensein des Heartbleed-Bugs in ihren Systemen prüfen. Regelmäßige Audits und automatische Sicherheitsbewertungen sind ebenfalls wirksam.

Was sind die Risiken, wenn Heartbleed in internen Systemen nicht behoben wird?

Wenn Heartbleed nicht behoben wird, sind interne Systeme anfällig für Datenschutzverletzungen, unbefugten Zugriff und den potenziellen Verlust sensibler Daten. Dies kann zu finanziellen Verlusten, Rufschädigung und Compliance-Problemen führen.

Welche Arten von Infrastrukturen sind durch Heartbleed am meisten gefährdet?

Server und Geräte, auf denen anfällige Versionen von OpenSSL laufen, sind am meisten gefährdet. Dazu gehören Webserver, E-Mail-Server und alle vernetzten Geräte, die die betroffenen OpenSSL-Versionen verwenden.

Wie können Sicherheitslösungen dazu beitragen, die Heartbleed-Risiken zu mindern?

Zu den langfristigen Auswirkungen gehört ein geschärftes Bewusstsein für die Notwendigkeit regelmäßiger Sicherheitsaktualisierungen und verbesserter Sicherheitsverfahren. Unternehmen können auch strengere Kontrollen und rigorosere Programme zur Verwaltung von Sicherheitslücken einführen.

Welche bewährten Verfahren können Heartbleed-Exploits in internen Netzwerken verhindern?

Zu den bewährten Verfahren gehören die ständige Aktualisierung von OpenSSL, die regelmäßige Suche nach Schwachstellen, die Einführung strenger Zugangskontrollen und die Schulung der Mitarbeiter in Sachen Sicherheitshygiene. Regelmäßige Sicherheitsprüfungen und Pläne für die Reaktion auf Zwischenfälle sind ebenfalls wichtig.