Information zur OpenSSL-Sicherheitslücke CVE-2014-0160/Heartbleed

Am 7. April 2014 wurde die Sicherheitslücke CVE-2014-0160 (aka. Heartbleed) in der weit verbreiteten OpenSSL-Bibliothek veröffentlicht. Im Folgenden möchten wir alle Nutzer der IT-Infrastruktur des KIT über mögliche Folgen und Handlungsoptionen informieren.

Auswirkungen

Die Schwachstelle ermöglicht einem Angreifer das Auslesen sensibler Daten auf betroffenen Servern. Dies umfasst insbesondere Zugangsdaten wie Passwörter, aber auch die geheimen Schlüssel der Server. Es ist den Betreibern eines Systems nicht möglich, einen Angriff festzustellen. Jeder Nutzer eines verwundbaren Systems muss daher damit rechnen, dass das verwendete Kennwort kompromittiert wurde.

Wir empfehlen daher allen Benutzern, die ein verwundbares System verwendet haben, umgehend ihr Kennwort zu ändern. Welche Systeme betroffen sind, können Sie den Detailerläuterungen entnehmen. Im Zweifel raten wir zur Passwortänderung. Diese kann über die folgenden URLs erfolgen:

• für Mitarbeiter, Gäste und Partner und Studierende: https://my.scc.kit.edu
• bei Abwesenheit oder dergleichen Änderung durch ITB: http://www.scc.kit.edu/dienste/8677.php

[Update vom 14. April 2014] Personenzertifikate der KIT-CA sind bei der Benutzung zur Signierung und Verschlüsselung von E-Mails nicht betroffen.

Wenn Sie selber einen durch durch OpenSSL abgesicherten Dienst betreiben, lesen Sie bitte auch die nächsten Abschnitte und stellen Sie sicher, dass Ihr Dienst nicht von der Sicherheitslücke betroffen ist.

Details zum Zustand der KIT-Infrastruktur

Unmittelbar nach Bekanntwerden der Schwachstelle wurden alle betroffenen Systeme im SCC sukzessive auf einen sicheren Softwarestand aktualisiert. Die entsprechenden Schlüssel und Zertifikate wurden ersetzt. Gleichzeitig wurde damit begonnen, die KIT-Infrastruktur auf verwundbare Systeme zu scannen. Hierfür wurden alle von der KIT-CA ausgestellten Serverzertifikate ausgewertet und so eine Liste der potentiell gefährdeten Systeme erstellt. Bei erkannten Schwachstellen wurden die entsprechenden Zertifkatnehmer vom KIT-CERT per E-Mail informiert.

Für die vom SCC betriebenen Dienste können wir zum jetzigen Zeitpunkt (11. April 2014) die folgenden Aussagen treffen:

• Die überwiegende Anzahl der vom SCC betriebenen Dienste waren zu keinem Zeitpunkt von dieser Schwachstelle betroffen. Dies gilt insbesondere für:
  • die zentral vom SCC betriebenen Webserver
  • die Exchange-Mailinfrastruktur inklusive Outlook Web Access (OWA)
  • die zentralen Ein- und Ausgangsmailserver des KIT
  • generell die meisten windows-basierten Dienste (beispielsweise Active Directory) sowie alle java-basierten Dienste (beispielsweise das zentrale Identitätsmanagementsystem)
• Zeitweise betroffen waren die folgenden Systeme:
  • der Shibboleth-Identitätsprovider (IdP) bis zum Mittag des 8. April
  • die RADIUS-Server bis zum Vormittag des 9. April
  • das DNSVS-Webinterface bis zum Vormittag des 9. April
  • das Juniper-VPN-System bis zum Vormittag des 10. April

Die RADIUS-Server bilden die Authentifizierungsgrundlage für das gesamte WKIT, Eduroam, LTA sowie eine Reihe weiterer Netzzugangsdienste. Es ist zur Zeit unklar, ob die Lücke im Falle der RADIUS-Server tatsächlich ausnutzbar war.

Für weitere technische Details zur Schwachstelle empfehlen wir die Lektüre der folgenden Webseiten:

• Advisory des DFN-CERT
• Advisory von EGI
• Advisory des RUS-CERTs
• http://heartbleed.com

Handlungsempfehlung für Administratoren und IT-Beauftragte

1. Überprüfen Sie Ihre Systeme auf Verwundbarkeit. Das KIT-CERT verwendet derzeit heartbleed-masstest.
2. Aktualisieren Sie gegebenenfalls die betroffene Software und starten Sie diese neu.
3. Erstellen Sie für betroffene Dienste neue Schlüsselpaare und beantragen Sie neue Zertifikate. Sperren Sie die alten Zertifikate.
4. Sollten Sie betroffene Systeme mit eigenen Accounts haben, sorgen Sie dafür, dass deren Passwörter geändert werden.

Für weitere Fragen können Sie sich gerne an das KIT-CERT wenden.