Unternehmen haben fünf Tage Zeit, um sich auf eine vom OpenSSL-Projekt am 26. Oktober beschriebene „kritische“ Schwachstelle in Version 3.0 und höher der nahezu allgegenwärtig verwendeten kryptografischen Bibliothek zur Verschlüsselung der Kommunikation im Internet vorzubereiten.
Am Dienstag, den 1. November, wird das Projekt eine neue Version von OpenSSL (Version 3.0.7) veröffentlichen, die einen noch nicht veröffentlichten Fehler in aktuellen Versionen der Technologie behebt. Die Merkmale der Schwachstelle und die Leichtigkeit, mit der sie ausgenutzt werden kann, bestimmen die Geschwindigkeit, mit der Unternehmen das Problem angehen müssen.
Potenziell enorme Auswirkungen
Große Betriebssystemanbieter, Softwareherausgeber, E-Mail-Anbieter und Technologieunternehmen, die OpenSSL in ihre Produkte und Dienste integriert haben, werden wahrscheinlich über aktualisierte Versionen ihrer Technologien verfügen, deren Veröffentlichung mit der Offenlegung des Fehlers durch das OpenSSL-Projekt am kommenden Dienstag geplant ist. Aber das wird möglicherweise immer noch dazu führen, dass Millionen anderer – darunter Bundesbehörden, private Unternehmen, Dienstanbieter, Hersteller von Netzwerkgeräten und unzählige Website-Betreiber – immer noch eine Frist haben, um die Schwachstelle zu finden und zu beheben, bevor Bedrohungsakteure beginnen, sie auszunutzen.
Sollte sich herausstellen, dass es sich bei der neuen Schwachstelle um einen weiteren Heartbleed-Bug handelt – die letzte kritische Schwachstelle, die sich auf OpenSSL auswirkt – werden Unternehmen und die gesamte Branche unter Hochdruck stehen, um das Problem so schnell wie möglich zu beheben.
Die im Jahr 2014 aufgedeckte Heartbleed-Schwachstelle (CVE-0160-2014) bot Angreifern im Grunde eine Möglichkeit dazu Belauschen Sie die Internetkommunikation und stehlen Sie Daten
von Diensten und Benutzern bis hin zur Nachahmung von Diensten, und das alles ohne Anzeichen dafür, dass sie jemals etwas davon getan haben. Der Fehler trat in OpenSSL-Versionen ab März 2012 auf und betraf eine schwindelerregende Reihe von Technologien, darunter weit verbreitete Webserver wie Nginx, Apache und IIS; Organisationen wie z Google, Akamai, CloudFlare und Facebook; E-Mail- und Chat-Server; Netzwerkgeräte von Unternehmen wie Cisco; und VPNs.
Die Offenlegung des Fehlers löste in der gesamten Branche eine Flut von Abhilfemaßnahmen aus und löste Bedenken hinsichtlich größerer Kompromittierungen aus. Wie die Website Heartbleed.com von Synopsys feststellte, hatten allein Apache und Nginx zum Zeitpunkt der Veröffentlichung von Heartbleed einen Marktanteil von über 66 % der aktiven Websites im Internet.
Es ist zumindest bis Dienstag nicht abzusehen, ob der neue Fehler in etwa Heartbleed ähneln wird. Doch angesichts der nahezu kritischen Infrastruktur-ähnlichen Nutzung von OpenSSL für die Verschlüsselung im Internet täten Unternehmen gut daran, die Bedrohung nicht zu unterschätzen, sagten Sicherheitsexperten diese Woche.
Sicherheitsorganisationen sollten sich auf Auswirkungen einstellen
„Es ist etwas schwierig, über die Auswirkungen zu spekulieren, aber die Erfahrung der Vergangenheit hat gezeigt, dass OpenSSL die Bezeichnung ‚kritisch‘ nicht leichtfertig verwendet“, sagt Johannes Ullrich, Dekan für Forschung am SANS-Institut.
OpenSSL selbst definiert einen kritischen Fehler als einen solchen ermöglicht eine umfassende Offenlegung des Inhalts des Serverspeichers und potenzielle Benutzerdetails, Schwachstellen, die einfach und aus der Ferne ausgenutzt werden können, um private Schlüssel des Servers zu gefährden.
Version 3.0, die aktuelle Version von OpenSSL, werde in vielen aktuellen Betriebssystemen verwendet, etwa in Ubuntu 22.04 LTS und MacOS Mavericks und Ventura, stellt Ullrich fest. Unternehmen können damit rechnen, Linux-Patches schnell und wahrscheinlich zeitgleich mit dem OpenSSL-Bulletin am Dienstag zu erhalten. Aber Unternehmen sollten sich jetzt darauf vorbereiten, herauszufinden, welche Systeme OpenSSL 3.0 nutzen, sagt Ullrich. „Nach Heartbleed führte OpenSSL diese Vorankündigungen von Sicherheitspatches ein“, sagt er. „Sie sollen Organisationen bei der Vorbereitung helfen. Nutzen Sie also diese Zeit, um herauszufinden, was gepatcht werden muss.“
Brian Fox, Mitbegründer und CTO bei Sonatype, sagt, dass Unternehmen bis zur Offenlegung des Fehlers durch das OpenSSL-Projekt am Dienstag feststellen müssen, ob sie irgendwo in ihrem Technologieportfolio eine anfällige Version verwenden, welche Anwendungen sie verwenden und wie lange Sie müssten das Problem beheben.
„Potenzielle Reichweite ist immer der folgenreichste Teil eines größeren Fehlers“, bemerkt Fox. „In diesem Fall besteht die größte Herausforderung bei der Aktualisierung von OpenSSL darin, dass diese Nutzung oft in andere Geräte integriert ist.“ In diesen Fällen könne es schwierig sein, die Gefährdung einzuschätzen, ohne den vorgelagerten Anbieter der Technologie zu fragen, fügt er hinzu.
In alles, was sicher mit dem Internet kommuniziert, ist möglicherweise OpenSSL integriert. Und nicht nur Software, sondern auch Hardware kann betroffen sein. Die Vorankündigung, die das OpenSSL-Projekt zur Verfügung stellte, sollte Organisationen Zeit zur Vorbereitung geben. „Der erste Schritt besteht darin, die Software oder Geräte zu finden. Unternehmen sollten dies jetzt tun, und dann werden Patches oder die Beschaffung von Updates von den Upstream-Anbietern folgen“, sagt Fox. „Alles, was Sie im Moment tun können, ist Inventur.“
Möglicherweise muss ein ganzes Ökosystem aktualisiert werden
Vieles wird auch davon abhängen, wie Anbieter von Produkten, in denen anfällige Versionen von OpenSSL eingebettet sind, auf die Offenlegung reagieren. Die Veröffentlichung der neuen Version durch das OpenSSL-Projekt am Dienstag ist nur der erste Schritt. „Ein ganzes Ökosystem von Anwendungen, die mit OpenSSL erstellt wurden, muss auch seinen Code aktualisieren, eigene Updates veröffentlichen und Organisationen müssen diese anwenden“, sagt John Bambenek, Principal Threat Hunter bei Netenrich.
Im Idealfall haben Organisationen, die sich mit Heartbleed befasst haben, eine Vorstellung davon, wo sich ihre OpenSSL-Installationen befinden und welche Produkte ihrer Anbieter ebenfalls ein Update benötigen. „Deshalb können Software-Stücklisten wichtig sein“, sagt Bambenek. „Sie können sich die Zeit nehmen, Kontakt mit ihren Zulieferern und Anbietern aufzunehmen und die Pläne für Aktualisierungen zu verstehen, um sicherzustellen, dass diese Aktualisierungen auch angewendet werden.“ Ein wahrscheinliches Problem, auf das Unternehmen vorbereitet sein müssen, sei der Umgang mit ausgedienten Produkten, für die keine Updates verfügbar seien, fügt er hinzu.
Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, sagt, dass es für Unternehmen am besten ist, ihren normalen Änderungsmanagementprozess zu befolgen, wenn keine Hinweise auf Exploit-Aktivitäten und damit verbundene Anzeichen einer Gefährdung vorliegen, wenn ein bekanntes Update auf dem Weg ist. „Auf der Sicherheitsseite lohnt es sich, einen zusätzlichen Fokus auf Systeme zu legen, die betroffen sein könnten, wenn ein Exploit auftaucht, bevor die neue Version veröffentlicht wird“, rät er.
In der Ankündigung des OpenSSL-Projekts gibt es nicht genügend Informationen, um zu sagen, wie viel Arbeit mit dem Upgrade verbunden sein wird, „aber es sei denn, es erfordert eine Aktualisierung der Zertifikate, wird das Upgrade wahrscheinlich unkompliziert sein“, prognostiziert Parkin.
Ebenfalls am 1. November wird das OpenSSL-Projekt die OpenSSL-Version 1.1.1s veröffentlichen, die es als „Bugfix-Release“ bezeichnet. Version 1.1.1, die sie ersetzt, sei nicht anfällig für den CVE, der in 3.0 behoben wird, so das Projekt.
