Mit GFI LanGuard ihre Systeme gegenüber Heartbleed absichern
Das Internet war letzte Woche in einem Schockzustand, als eine bereits zwei Jahre alte Schwachstelle in OpenSSL bekannt wurde. Heartbleed, wie die Schwachstelle getauft wurde, kann zu einer massiven Preisgabe unerwünschter Informationen durch einfache Anfragen, die keine Privilegien benötigen und keine Log-Aufzeichnungen nach sich ziehen, führen. Es kann Alles von den letzten auf einem betroffenen System ausgeführten Befehlen über die Zugangsdaten von Nutzern bis hin zu privaten Schlüsseln ungesichert abgerufen werden. Die Nachwirkungen dieser unerwünschten Enthüllungen werden die Systemadministratoren noch Monate beschäftigen, bis alle Patche eingespielt und die Datenverluste aufgezeichnet worden sind. Details zu dieser Schwachstelle lassen sich aus dem CVE 2014-0160 entnehmen.
In aller Kürze: OpenSSL ist eine Open Source Implementierung von SSL und TLS, die stark verbreitet im Internet eingesetzt wird. OpenSSL stellt die Basis für die Verschlüsselung der meisten Webseiten, sicheren FTP Servern, Email Servern, VPN Endpunkten und vielen weiteren Einsatzmöglichkeiten dar. Um die Belastung während einer Verschlüsselung zu reduzieren, wurde eine Heartbeat (Herzschlags) Funktion in OpenSSL integriert, die quasi die „Lebendigkeit“ einer bestehenden sicheren Verbindung selbst während Ruhephasen (also bei keiner aktiven Übermittlung von Daten) überprüft. Dies wurde mit RFC 6520 dokumentiert.
Die Heartbleed-Schwachstelle beruht – einfach ausgedrückt – auf einer fehlenden Überprüfung der Grenzen einer Verbindung. Dies ermöglicht einem Angreifer den Heartbeat zusammen mit einem ganzen Datenpaket aus dem Arbeitsspeicher, 64KB pro Anfrage – was eine ganze Menge privilegierten Informationen bedeuten kann – abzufragen. Da es sich bei dieser Anfrage nur um eine Heartbeat-Anfrage und keine Überprüfung einer Applikationsanfrage handelt, so hinterlässt ein Angreifer, der diese Schwachstelle ausnutzt, weder Spuren in den Log-Dateien, noch werden irgendwelche Zugangsdaten benötigt…..lediglich eine bestehende SSL Verbindung.
Es sind die OpenSSL Versionen 1.0.1 bis 1.0.1f für Heartbleed anfällig – außer wenn die Option „OPENSSL_NO_HEARTBEATS“ zuvor aktiviert wurde. Die Versionen 1.0.1g oder später wie auch die Versionen 1.0.0 sind von der Schwachstelle nicht betroffen. Zu wissen, welche Versionen betroffen sind, ist eine Sache. Zu wissen, dass die eigenen Systeme nicht betroffen sind, ist etwas ganz Anderes. OpenSSL kann genutzt werden, um die SSL/TLS Funktionalität für verschiedenste Dienste bereitzustellen. Man kann OpenSSL auf Linux Systemen oder in Applikationen von Drittanbietern für Windows finden. Man findet OpenSSL auch auf Load Balancern und Reverse Web Proxies. Obwohl die Administratoren von Windows Systemen, die den IIS verwenden, sich eigentlich keine Sorgen um Heartbleed auf ihren Webservern machen müssen, so könnten dennoch ihre Systeme durch einen Load Balancer oder einen Reverse Proxy oder einer SSL Offload Komponente vor ihren Webservern für Heartbleed anfällig sein.
Da OpenSSL in nahezu jedes System für mehrere unterschiedliche Protokolle kompiliert werden kann, so besteht ein Ansatz um herauszufinden, ob ihre Systeme für Heartbleed anfällig sind oder nicht, in der Überprüfung aller Systeme nach verfügbaren SSL oder TLS Diensten. Man kann hierfür beispielsweise Nmap zum Scannen des eigenen Netzwerkes durch Prüfung der gängigen SSL oder TLS Ports mit Hilfe dieses Befehls verwenden
nmap -sS -p 443,993,995,465 -iL ./ip_addresses.txt
wobei die Liste der IP-Adressen in der Datei ip_addresses.txt hinterlegt wird. Wenn Sie zusätzlich andere Verschlüsselungsdienste verwenden, dann fügen Sie diese einfach der Port Liste hinzu. Wenn Sie eine IP-Adresse identifizieren konnten, dann können Sie sehr schnell das spezifische System herausfinden und überprüfen, ob es für die Schwachstelle anfällig ist. Das kostet natürlich einen Haufen Zeit und Mühe, bis Sie alle Systeme eliminieren können, die, obwohl sie verschlüsselte Verbindungen anbieten, nicht OpenSSL (oder kein für die Heartbleed Schwachstelle anfälliges OpenSSL) verwenden.
Eine einfachere Möglichkeit ist der Einsatz eines Vulnerability Assessment Tools wie bspw. GFI LanGuard, um ihre Systeme zu überprüfen, ob sie für die Schwachstelle anfällig sind oder nicht. Der Einsatz von GFI LanGuard ist einfach und gradlinig.
1. Sie können ein Gerät mit Hilfe eines Scan-Profils überprüfen, dass die Überprüfung nach Schwachstellen durchführt (z.B. Hochsicherheits-Schwachstellen“)
- Spezifizieren Sie das zu überprüfende Ziel. Hierfür sind keine spezifischen Administrationszugangsdaten auf dem zu überprüfenden System notwendig
- Bestimmen Sie den Umfang der Überprüfung (standardmäßig ist eine „vollständige Überprüfung“ aktiviert – die dauert dann aber auch länger)
- Klicken Sie auf den „Scan“ Button
2. Wenn auf dem Gerät ein Dienst gefunden wird, der für die Heartbleed Schwachstelle anfällig ist, dann erscheint die gefundene Schwachstelle in den Scan-Ergebnissen
3. Anschließend können Sie entweder die betroffene OpenSSL Version auf die OpenSSL Version 1.0.1g oder später updaten oder die bestehende OpenSSL Version mit der OPENSSL_NO_HEARTBEATS Option neu kompilieren. Für geschlossene Systeme wie Load Balancer oder Appliance-Systeme müssen Sie vielleicht mit den Anbieter der Lösung zusammenarbeiten, um eine Update zu erhalten. Schließen Sie solche Systeme zwischenzeitlich aus dem Netzwerk aus, bis ihnen der Hersteller einen Patch liefern kann.
Der Heartbleed Fehler wird von einigen Sicherheitsexperten als Katastrophe bezeichnet. Das ist eine absolute Untertreibung. Auf einer Skala von 1 bis 10, wobei 10 die größte Gefahr darstellt, würde Heartbleed eher der Kategorie 11 angehören. Da so viele Systeme auf der ganzen Welt für diese Schwachstelle seit über 2 Jahren anfällig waren / sind und es eigentlich keine Möglichkeit gibt um festzustellen, ob ein System bereits kompromitiert wurde….da erscheinen vergangene Bedrohungen wie PRISM wie ein Regenbogen.
Und glauben Sie bitte nicht, nur wiel IIS nicht OpenSSL verwendet, dass Sie vor dieser Gefahr immun sind. Es gibt unzählig viele Applikationen von Drittanbietern für Windows, die OpenSSL verwenden. Und wahrscheinlich befinden sich zudem genügend Geräte zwischen Ihren Servern und dem Internet, die OpenSSL nutzen.
Systemadministratoren müssen umgehend für diese Schwachstelle anfällige Systeme patchen. Anschließend müssen alle Zugangspasswörter geändert und die Verschlüsselungs-Schlüsselpaare geändert werden. Nutzer sollten sich erst vergewissern, dass die Webseiten vollständig gepatcht wurden, bevor sie ihre Passwörter ändern. Dies könnte auch endlich der weltweite Durchbruch von 2-Faktor Authentifizierungssystemen werden.
Heatbleed hat wirklich zu einem Erdbeben geführt. Mit GFI LanGuard können Systemadministratoren aber schnell verwundbare Systeme aufspüren, die schnellstens gepatcht werden müssen, um die wertvollen Informationen zu schützen.
Hier können Sie eine kostenfreie 30-tägige Testversion von GFI LanGuard nach einer kurzen Registrierung herunterladen.
Quelle: GFI TalkTechToMe Weblog – Autor: David Kelleher
Über GFI
GFI Software ™ (www.gfi.com) entwickelt hochqualitative IT Lösungen für kleine bis mittelgroße Unternehmen mit bis zu 1000 Nutzern. GFI ® bietet zwei herausragende Technologien an: GFI MAX ™, mit der Managed Service Provider (MSPs) den eigenen Kunden zusätzliche Dienste anbieten können, und GFI Cloud ™, mit der Unternehmen ihre eigenen IT-Teams in die Lage versetzen können, das eigene Netzwerk über die Cloud verwalten und warten zu können. GFI verfügt über einen stetig wachsenden Kundenstamm von aktuell 200.000 Unternehmen. Die Produktlinie von GFI umfasst zudem Lösungen für eine verteilte Zusammenarbeit, Netzwerksicherheit, Anti-Spam, Patch-Management, Fax, Mailarchivierung und Webüberwachung. GFI ist ein auf den Channel Vertrieb fokussiertes Unternehmen mit Tausenden von Partnern auf der ganzen Welt. Das Unternehmen ist mit unzähligen Preisen und industriellen Anerkennungen ausgezeichnet worden und zudem seit langer Zeit Microsoft ® Gold ISV Partner.