Heartbleed ciągle żywy – duzi producenci nadal łatają

dodał 17 kwietnia 2014 o 22:15 w kategorii Błędy, Krypto  z tagami:
Heartbleed ciągle żywy – duzi producenci nadal łatają

Jeszcze długo będziemy czytać o skutkach błędu w OpenSSL. Tym razem staramy się zwrócić uwagę na luki, które odnaleziono w mniej typowych miejscach – także w wielu aplikacjach klienckich oraz w gotowych produktach dużych firm.

W ramach krótkiego przypomnienia – luka Heartbleed, nie dotyczy tylko (jak wielokrotnie podkreśla się w mediach) serwerów WWW czy odwiedzających je użytkowników. Wczoraj wieczorem badacze z Mullvad zaprezentowali (ale nie opublikowali) informacje o stworzeniu exploita umożliwiającego pobranie z serwera OpenVPN (popularny bezpłatny serwer VPN) klucza prywatnego. Przy jego pomocy udało się im stworzyć fałszywy serwer, do którego bez problemu podłączyli się klienci.

OpenSSL występuje również w sporej ilość zupełnie nieznanych zwykłemu szaremu użytkownikowi usług czy aplikacji. Na wyciek wrażliwych danych narażone są głównie przedsiębiorstwa, ale również dostawcy usług i ich klienci.

B jak Błąd jeżyny (bądź ostrężyny)

Blackberry informuje kilku z pozostałych im klientów, że usługi BIS (Blackberry Internet Services) jak i BES (Blackberry Enterprise Server) nie są zagrożone. Problem dotyka niestety nadal użytkowników BBM (Blackberry Messenger) i (un)Secure Work Space dla iOS jak i Androida (sam BBM to ponad 40 mln użytkowników) oraz aplikacji Blackberry Link dla Mac OS jak i Windows.

BlackBerry podatne na HeartBleed (źródło grafiki: blackberryhack.com)

J jak Jałowiec

Juniper w pierwszej kolejności załatał dziury w produktach udostępniających usługi VPN czyli Junos OS, Junos Pulse i IVEOS SSL VPN. Podkreśla jednak, że w dalszym ciągu brakuje odpowiednich łatek dla aplikacji klienckich dla tych usług, ale ze względu na niewielki i specyficzny zakres zostanie ona udostępniona w przyszłości. Wśród zidentyfikowanych produktów znajdują się również przełączniki sieciowe z serii EX. Juniper zapowiedział także, że dokumentacja techniczna odwołujący się do luki Heartbleed będzie sukcesywnie powiększana o kolejne zidentyfikowane podatne produkty w momencie, gdy zostaną wypuszczone poprawione wersje oprogramowania.

Ś jak Śledź jeziorny

Cisco w swoim biuletynie bezpieczeństwa opisało produkty zarówno podatne, jak i te które nie są zagrożone. W pierwszej kolejności oczywiście naprawą objęte zostały produkty które używane są publicznie w Internecie, czyli platforma komunikacyjna Webex oraz Cisco Registered Envelope Service (usługa szyfrowania emaili). Na liście do aktualizacji pozostało jednak jeszcze dużo do zrobienia, wciąż niezałatane są np. luki w platformach usług głosowych (VOIP).

Heartbleed w produktach Cisco (źródło grafiki: geeky-gadgets.com)

W jak Wirtualizacja

VMware to dla niektórych przedsiębiorstw synonim słowa wirtualizacja. Niestety zgodnie z opublikowaną przez producenta listą najmłodsze dzieci ESXi 5.5 jak i Fusion 6 są podatne na błąd OpenSSL. Co uspokaja, to fakt, że zazwyczaj tego typu usługi zamknięte są szczelnie w osobnym segmencie sieci lokalnej, dostępnej tylko administratorom. Co niepokoi to to, że zrzucona pamięć hosta, może zawierać również pamięć maszyn wirtualnych, które na tym hoście się znajdują.

Gdybyście chcieli poznać losy innych „dużych”, którzy skrzętnie zainstalowali swoje backdoory w waszych serwerowniach, zaproponujcie w komentarzach kogo mamy prześwietlić pod kątem Heartbleed, a z chęcią rozbudujemy artykuł.