Suchen

SSL Labs analysieren Server auf CCS-Anfälligkeit ChangeCipherSpec-Schwachstelle in OpenSSL

| Autor / Redakteur: Ivan Ristic / Stephan Augsten

Um das quelloffene OpenSSL-Projekt wird es einfach nicht ruhig. Nach dem Heartbleed-Debakel sind weitere Sicherheitsprobleme bekannt geworden, die im schlimmsten Fall zu einer Offenlegung des gesamten Netzwerkverkehrs führen können. Die SSL Labs von Qualys haben sich im Rahmen von Website-Analysen mit einer speziellen Schwachstelle beschäftigt.

Firmen zum Thema

Mit dem SSL Server Test können Unternehmen ihre Server auf mögliche OpenSSL-Schwachstellen CVE hin prüfen.
Mit dem SSL Server Test können Unternehmen ihre Server auf mögliche OpenSSL-Schwachstellen CVE hin prüfen.
(Bild: alphaspirit - Fotolia.com)

Vor gut einem Monat veröffentlichte OpenSSL ein Advisory, in dem Einzelheiten zu einer Reihe gravierender Sicherheitslücken beschrieben wurden. Für die meisten Websites wird die Schwachstelle CVE-2014-0224 das größte Problem darstellen, weil sie durch einen aktiven Netzwerkangriff (Man-in-the-Middle) ausgenutzt werden kann.

Diese Anfälligkeit erlaubt es einem aktiven Angreifer, ChangeCipherSpec-Nachrichten (CCS) auf beiden Seiten einer Verbindung einzuschleusen und die Verhandlung der Schlüssel zu erzwingen, bevor das gesamte Schlüsselmaterial zur Verfügung steht. Dies führt dazu, dass schwache Schlüssel ausgehandelt werden und der Angreifer Zugriff auf den Datenverkehr erhalten kann.

Falls Sie an den technischen Einzelheiten interessiert sind: Adam Langley hat eine gute technische Analyse veröffentlicht. Zwar sind praktisch alle Versionen von OpenSSL anfällig, ausnutzen lässt sich diese Schwachstelle aber nur, wenn zum einen beide Seiten OpenSSL einsetzen und zum anderen der Server eine anfällige Version von OpenSSL aus dem 1.0.1-Zweig verwendet.

Die gute Nachricht ist, dass die meisten Browser OpenSSL nicht verwenden und die meisten Internet-Nutzer deshalb nicht betroffen sind. Die Android-Browser verwenden jedoch OpenSSL und sind daher für diesen Angriff anfällig. Google hat mittlerweile Android 4.4.4 veröffentlicht, um dieses Problem zu beheben.

Viele Befehlszeilen- und ähnliche programmatische Tools arbeiten ebenfalls mit OpenSSL. Ein besonders interessantes Ziel werden diverse VPN-Produkte sein, die wie OpenVPN auf OpenSSL basieren. Wir bei SSL Labs haben jetzt seit einiger Zeit auf CVE-2014-0224 getestet und zudem umfassende Scans via SSL Pulse durchgeführt.

Wenige Tage nach der Bekanntgabe der Schwachstelle, am 10. Juni 2014, fanden wir in unserem Datenbestand 14 Prozent anfällige Hosts. Bei einem erneuten Scan am 2. Juli zeigte sich, dass sich die Anzahl der verwundbaren Hosts verringert hatte: Jetzt sind im gleichen Datenbestand noch 8,84 Prozent der Hosts verwundbar.

Ein Viertel der bei uns gelisteten Hosts sind aus rein technischer Sicht zwar anfällig, auf ihnen laufen allerdings Open SSL 1.0.0 und frühere Versionen. Diese sind nach derzeitigem Stand nicht angreifbar. Mit dem SSL Server Test von SSL Labs können Sie Ihre Server bei Bedarf auf die Schwachstelle CVE-2014-0224 und andere Anfälligkeiten hin prüfen.

Über den Autor

Ivan Ristic ist Leiter der SSL Labs bei Qualys.

(ID:42799847)