Stellungnahme zur Heartbleed-Sicherheitslücke für Airlock

Zürich, 11.04.2014

Am Montag, 7. April 2014, wurde die Heartbleed-Sicherheitslücke in OpenSSL bekannt. Betroffen sind die OpenSSL-Versionen 1.0.1 bis und mit 1.0.1f. Diese Schwachstelle erlaubt es, die privaten Schlüssel von SSL/TLS-Verbindungen und sensible Nutzerdaten, wie z.B. Passwörter oder Session-Cookies aus dem Speicher von Webservern auszulesen. Die Attacke hinterlässt keinerlei Spuren auf dem kompromittierten System. Davon sind sehr viele Server im Netz und normale Internetbenutzer betroffen, wenn sie ihre Emails abrufen, E-Banking machen oder in einem Onlineshop einkaufen. Da es für den Angreifer nicht steuerbar ist, welche Daten er erhält, ist es jedoch nicht möglich gezielt Benutzer anzugreifen.

 

Auch bei der Web Application Firewall Airlock von Ergon ist OpenSSL im Einsatz. Unser Entwicklerteam hat die fehlerhafte Komponente ersetzt und bereits am frühen Nachmittag des 8. Aprils 2014 einen Airlock-Hotfix bereitgestellt, damit die Kunden ihre Systeme umgehend patchen konnten. Details finden sich auf der Airlock-Techzone. Applikationen, die hinter einem aktualisierten Airlock stehen, sind nicht verwundbar. Die Authentisierungsplattform Medusa ist von dieser Sicherheitslücke nicht betroffen, weil Medusa typischerweise hinter Airlock platziert ist und weil Medusa anstelle von OpenSSL den Java-SSL-Stack verwendet.

 

Es ist unklar, wie lange die Schwachstelle bereits ausgenützt wurde. Deshalb empfiehlt es sich, zusätzliche Massnahmen zu ergreifen. Die SSL/TLS-Zertifikate der betroffenen Webserver müssen erneuert werden. Dabei ist zu beachten, dass ebenfalls neue Schlüsselpaare generiert werden müssen, da die geheimen Schlüssel als kompromittiert angesehen werden müssen. Die alten Zertifikate müssen revoziert werden.

 

Potenziell wurden auch Passwörter von Benutzerkonten kompromittiert. Um auf der sicheren Seite zu sein, sollten nach dem Schliessen der Lücke und der Erneuerung der Zertifikate ebenfalls die Passwörter von Benutzern geändert werden. Beim nächsten Login eine Passwortänderung zu verlangen, ist eine Möglichkeit dazu. Das Self-Service-Modul von Medusa kann hier unterstützen. Falls keine 2-Faktor-Authentisierung eingesetzt wird, sollte der Passwortwechsel über einen unabhängigen Kanal (z.B. Email, SMS, Brief) erfolgen. Client-Zertifikate müssen nicht erneuert werden, da die geheimen Schlüssel den Client beim Verbindungsaufbau nicht verlassen.

 

Angreifer konnten potenziell auch an Session-Cookie-Daten gelangen. Falls auf Airlock Client-Fingerprinting eingeschaltet war, so wurde damit die Entführung der Session verhindert. Weitere sensible Daten wie Kreditkarten-Nummern, Zahlungsdetails, Adressen etc. waren im gleichen Ausmass exponiert. Hier hilft leider nur die kritische Hinterfragung auffälliger Transaktionen.