Wie John Matherly, Chef der Schwachstellen-Suchmaschine Shodan, berichtet, sind immer noch knapp 200.000 öffentlich im Internet erreichbare Systeme verwundbar für die notorische SSL-Schwachstelle Heartbleed (CVE-2014-0160). Die Lücke wird im April drei Jahre alt, trotzdem scheint es immer noch Admins zu geben, die entsprechende Sicherheitsupdates nicht eingespielt haben.

Deutschland auf Platz 4 der Heartbleed-Statistik

Bei den meisten der Heartbleed-anfälligen IPs scheint es sich um VMs und Mietserver zu handeln. Viele verwundbare Systeme finden sich in Amazons AWS-Cloud, gefolgt von Kunden-Servern beim US-Internetanbieter Verizon. Auch der deutsche Anbieter Strato ist prominent im Shodan-Report vertreten und schlägt die 1&1 Internet AG, die einige hunderte verwundbare Systeme weniger in ihrem Netz beherbergt. Insgesamt stammen 14.072 der angreifbaren Server aus Deutschland.

Nearly 3 years later and we're still looking at ~200,000 services vulnerable to Heartbleed: https://t.co/KU04PtWTJU pic.twitter.com/6mZhCUCVu6 — John Matherly (@achillean) January 22, 2017

Heartbleed wurde im April 2014 öffentlich und begann den Trend unter Sicherheitsforschern, Lücken mit Logos und Branding zu versehen. Das zeigte auch zuerst die gewünschte Wirkung: Die Bekanntheit der Lücke führte dazu, dass ein Großteil der verwundbaren Systeme schnell gepatcht wurden. Seitdem hat sich die Rate, in der Heartbleed-anfällige Systeme aus dem Netz verschwinden aber drastisch verlangsamt.

Heartbleed im Jahr 2017

Wer im Jahr 2017 immer noch Server betreibt, die für die Lücke in OpenSSL anfällig sind, muss davon ausgehen, dass diese bereits kompromittiert wurden. Angreifer können Heartbleed dazu missbrauchen, verschlüsselte Kommunikation abzuhören oder Passwörter, Login-Daten und geheime Kryptoschlüssel mitzuschreiben. Aus diesem Grund sollten sämtliche Login-Daten und Kryptoschlüssel auf verwundbaren Systemen ausgetauscht werden, nachdem die Lücke geschlossen wurde. Entdeckt man bei sich jetzt noch verwundbare Systeme, sollte man allerdings eh darüber nachdenken, diese komplett neu zu installieren. (fab)