Jeszcze długo będziemy czytać o skutkach błędu w OpenSSL. Tym razem staramy się zwrócić uwagę na luki, które odnaleziono w mniej typowych miejscach – także w wielu aplikacjach klienckich oraz w gotowych produktach dużych firm.
W ramach krótkiego przypomnienia – luka Heartbleed, nie dotyczy tylko (jak wielokrotnie podkreśla się w mediach) serwerów WWW czy odwiedzających je użytkowników. Wczoraj wieczorem badacze z Mullvad zaprezentowali (ale nie opublikowali) informacje o stworzeniu exploita umożliwiającego pobranie z serwera OpenVPN (popularny bezpłatny serwer VPN) klucza prywatnego. Przy jego pomocy udało się im stworzyć fałszywy serwer, do którego bez problemu podłączyli się klienci.
OpenSSL występuje również w sporej ilość zupełnie nieznanych zwykłemu szaremu użytkownikowi usług czy aplikacji. Na wyciek wrażliwych danych narażone są głównie przedsiębiorstwa, ale również dostawcy usług i ich klienci.
B jak Błąd jeżyny (bądź ostrężyny)
Blackberry informuje kilku z pozostałych im klientów, że usługi BIS (Blackberry Internet Services) jak i BES (Blackberry Enterprise Server) nie są zagrożone. Problem dotyka niestety nadal użytkowników BBM (Blackberry Messenger) i (un)Secure Work Space dla iOS jak i Androida (sam BBM to ponad 40 mln użytkowników) oraz aplikacji Blackberry Link dla Mac OS jak i Windows.
J jak Jałowiec
Juniper w pierwszej kolejności załatał dziury w produktach udostępniających usługi VPN czyli Junos OS, Junos Pulse i IVEOS SSL VPN. Podkreśla jednak, że w dalszym ciągu brakuje odpowiednich łatek dla aplikacji klienckich dla tych usług, ale ze względu na niewielki i specyficzny zakres zostanie ona udostępniona w przyszłości. Wśród zidentyfikowanych produktów znajdują się również przełączniki sieciowe z serii EX. Juniper zapowiedział także, że dokumentacja techniczna odwołujący się do luki Heartbleed będzie sukcesywnie powiększana o kolejne zidentyfikowane podatne produkty w momencie, gdy zostaną wypuszczone poprawione wersje oprogramowania.
Ś jak Śledź jeziorny
Cisco w swoim biuletynie bezpieczeństwa opisało produkty zarówno podatne, jak i te które nie są zagrożone. W pierwszej kolejności oczywiście naprawą objęte zostały produkty które używane są publicznie w Internecie, czyli platforma komunikacyjna Webex oraz Cisco Registered Envelope Service (usługa szyfrowania emaili). Na liście do aktualizacji pozostało jednak jeszcze dużo do zrobienia, wciąż niezałatane są np. luki w platformach usług głosowych (VOIP).
W jak Wirtualizacja
VMware to dla niektórych przedsiębiorstw synonim słowa wirtualizacja. Niestety zgodnie z opublikowaną przez producenta listą najmłodsze dzieci ESXi 5.5 jak i Fusion 6 są podatne na błąd OpenSSL. Co uspokaja, to fakt, że zazwyczaj tego typu usługi zamknięte są szczelnie w osobnym segmencie sieci lokalnej, dostępnej tylko administratorom. Co niepokoi to to, że zrzucona pamięć hosta, może zawierać również pamięć maszyn wirtualnych, które na tym hoście się znajdują.
Gdybyście chcieli poznać losy innych „dużych”, którzy skrzętnie zainstalowali swoje backdoory w waszych serwerowniach, zaproponujcie w komentarzach kogo mamy prześwietlić pod kątem Heartbleed, a z chęcią rozbudujemy artykuł.
Komentarze
Jest jeszcze ciekawostka. Mianowicie po skanowaniu na podatność heartbleed, moduły iLO2 w serwerach HP przestają odpowiadać na ping… Nie są podatne na błąd jednak skan to metoda na DoS na tych urządzeniach. Nie jest to dobra informacja dla osób posiadających serwery HP, ale zapewne zdążyły się już o tym dowiedzieć empirycznie :-)
Jedynym obejściem (ale tylko i wyłączeni w przypadku serwerów typu BLADE) jest restart maszyn z poziomu panelu zarządzania chassis. W przypadku serwerów standalone należy wykonał pełen fizyczny reboot (z odłączeniem prądu łącznie).
tl.dr – nie zalecamy skanować podsieci zarządzających jeśli są w nich ILO2 firmy HP
Pozdrawiam :-)
Niestety jeżeli chodzi o blade, metodą jest wyciągnięcie serwera z obudowy i włożenie ponowne. Sam restart nic nie daje. Na szczęście HP wypuściło patcha kilka dni temu.
A nie poprzez restart prądowy management modułu (czyli wyciągniecie go i włożenie?), a nie samych serwerów blade?
screenOS niby nie podatny ale posiada bug, który rebootuje pudło podczas skanowania.
A czym skanujecie Panowie?
Czy wersja OpenSSL 1.0.1e-2+deb7u6 jest podatna na atak, czy nie?
Nie jest podatna.
„For the stable distribution (wheezy), this problem has been fixed in
version 1.0.1e-2+deb7u5.”
Tekst o podatności sprzętu Cisco opatrujecie zdjęciem Linksys’a (który obok Cisco nawet nie stał), marki którą już rok temu Cisco sprzedało Belkinowi.