Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Gerade als Sie dachten, es sei sicher, SSL zu verwenden

A10 Blog / Cybersicherheit / Gerade als Sie dachten, es sei sicher, SSL zu verwenden
Andrew Hickey
Andrew Hickey
|
Juni 6, 2014

Am5. Juni, weniger als zwei Monate nach der Enthüllung des Heartbleed-Bugs, veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, der sechs neue OpenSSL-Schwachstellen enthüllte[1]. Die schwerwiegendste dieser Schwachstellen ist ein ChangeCipherSpec (CCS)-Injektionsfehler, der jede Version von OpenSSL betrifft.

Die von dem Forscher Masashi Kikuchi bei Lepidum Co. Ltd. entdeckt wurde, handelt es sich bei der CCS-Injection-Schwachstelle (CVE-2014-0224) um einen Man-in-the-Middle-Angriff, der es böswilligen Benutzern ermöglicht, den zwischen dem Client und dem Server gesendeten Datenverkehr zu entschlüsseln und zu verändern. Damit der Angriff erfolgreich ist, müssen sowohl der Client als auch der Server verwundbar sein. Während alle Versionen von OpenSSL anfällig sind, wenn sie als SSL-Client fungieren, sind nur die OpenSSL-Versionen 1.0.1 und 1.0.2-beta1 anfällig, wenn sie als SSL-Server eingesetzt werden.

Auswirkungen der CCS-Injektion

Der CCS-Injection-Fehler ist zwar nicht so leicht auszunutzen wie der Heartbleed-Bug, stellt aber dennoch ein ernstes Sicherheitsrisiko dar. Daher müssen IT- und Sicherheitsadministratoren, die gerade erst zahlreiche Server und Geräte für Heartbleed aktualisiert haben, ihre Bemühungen wiederholen, um die CCS-Injection-Risiken zu minimieren.

Obwohl es nicht mit Heartbleed zusammenhängt, führte die erhöhte Aufmerksamkeit, die Heartbleed dem OpenSSL-Projekt brachte, zweifellos zu einer genaueren Untersuchung von OpenSSL und trug zu der Vielzahl neuer Sicherheitslücken bei, die am 5. Juni bekannt wurden. Tatsächlich berichtete Masashi Kikuchi: "Als Heartbleed auftauchte, sprach jeder darüber, wie man ähnliche Fehler verhindern kann... [Ich habe versucht], die Korrektheit der Implementierung auf einen Blick zu zeigen."

Daher sollte die jüngste OpenSSL-Sicherheitsempfehlung die meisten Netzwerk- und Sicherheitsexperten nicht überraschen, und Unternehmen sollten sich auf zukünftige OpenSSL-Bugs vorbereiten, da immer mehr Forscher OpenSSL ins Visier nehmen.

Reduzieren Sie das Risiko beim Verschlüsselungsmanagement

Da die CCS-Injektionsschwachstelle der Heartbleed-Enthüllung vom April dicht auf den Fersen war, mussten Unternehmen viel Zeit in das Patchen ihrer Server investieren. Da auf diesen Servern verschiedene Betriebssysteme mit unterschiedlichen SSL-Bibliotheken laufen können, müssen IT- und Netzwerkadministratoren viel Zeit für das Testen, Patchen und erneute Testen ihrer Anwendungen aufwenden.

Eine Möglichkeit für Unternehmen, ihre anfälligen Anwendungen zu schützen und den Zeitaufwand für Fire Drills in Zukunft erheblich zu reduzieren, besteht darin, den SSL-Datenverkehr auf ihren Application Delivery Controllern (ADCs) zu beenden. Das Auslagern des SSL-Verkehrs verringert nicht nur die Last auf den Anwendungsservern, sondern senkt auch die Betriebskosten, da die Administratoren die SSL-Zertifikate nicht auf jedem einzelnen Server verwalten müssen. Und im Falle eines Ausbruchs einer Sicherheitslücke können Administratoren vermeiden, jeden einzelnen Server zu patchen.

Auswirkungen auf A10 Networks Produkte

Von den Schwachstellen, die im OpenSSL-Sicherheitshinweisvom 5. Juni aufgedeckt wurden, sind die Produkte von A10 Networks nur für den CCS-Injection-MitM-Fehler anfällig. A10 Thunder und AX ADCs sind für CCS-Injection anfällig, wenn sie in SSL-Server-seitigen Bereitstellungen als SSL-Client konfiguriert sind, der eine Verbindung zu einem anfälligen Server herstellt. Wenn beispielsweise ein Thunder oder AX ADC als Load Balancer vor einem Webserver eingesetzt wird und den an den Back-End-Webserver gesendeten Datenverkehr erneut verschlüsselt, wäre das Gerät für einen Man-in-the-Middle-Angriff anfällig, wenn der Webserver ebenfalls für die Schwachstelle anfällig ist.

Die Anfälligkeit für diese Schwachstelle auf den Plattformen Thunder und AX ist möglicherweise begrenzt, da die meisten SSL-ADC-Einsätze für Front-End-SSL-Offload und nicht für Back-End-SSL-Wiederverschlüsselung konfiguriert sind. Auch wenn sie für die Wiederverschlüsselung konfiguriert sind, findet diese in einem internen Netzwerk statt und nicht im öffentlichen Internet. Trotz der potenziell begrenzten Gefährdung sollten A10-Kunden dennoch umgehend Patches für die Plattformen Thunder und AX bereitstellen.

A10-Kunden können sich beim A10-Supportportal anmelden, um den vollständigen Sicherheitshinweis zu lesen und Sicherheitsupdates für ihre A10-Produkte herunterzuladen.

Zusätzliche Ressourcen

[1 ] Das OpenSSL-Projekt hat insgesamt sieben Sicherheitspatches veröffentlicht, einschließlich eines Patches für eine zuvor angekündigte Sicherheitslücke.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
Andrew Hickey
Andrew Hickey
|
Juni 6, 2014

Andrew Hickey war der redaktionelle Leiter von A10. Andrew Hickey verfügt über zwei Jahrzehnte Erfahrung in den Bereichen Journalismus und Content-Strategie und berichtet über alles, was mit Kriminalität, Cloud Computing und... Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Wie man Emotet-Malware mit SSL-Abfangung besiegt
  2. Evaluierung einer TLS/SSL-Entschlüsselungslösung
  3. SSL-Einblick: Mehr als einfache SSL/TLS-Entschlüsselung