Felaktiga heartbleed saneringsarbetet av misstag lämnar tusentals servrar utsatta

Felet i OpenSSL kryptografiskt system som skickade världen i conniptions förra månaden verkar ha föranlett några administratörer att lappa opåverkade system med buggy uppdateringen lämnar dem med en beräknad $ 12m sanering räkningen.

Säkerhetsforskare Yngve Nysæter Pettersen har hittat en anledning systemadministratörer bör vara lugn och fokuserad när en stor säkerhetsbrist upptäcks. Under veckorna efter, heartbleed s avslöjande, systemadministratörer, förmodligen under tryck för att “göra något”, tillade felet till cirka 2500 tidigare opåverkade webbservrar, enligt Petterson.

Petterson, som upptäckte trenden under sex internet skannar han körs sedan den 11 april noterar två skäl är detta dåliga nyheter. Efter avslöjande, det finns en förhöjd risk att angripare kommer att utnyttja en brist, som, Kanadas Revenue Agency funnit. Det andra är att det nu uppskattas kollektiv sanering räkningen på $ 12m för att åtgärda ett problem som inte existerade.

Microsoft har bekräftat Azure Services är ganska mycket immuna mot heartbleed OpenSSL bugg, med undantag för kunder som kör Linux bilder i sitt moln. Google, Amazon, Rackspace, Joyant, och andra har klargjort vilka av deras tjänster påverkas, och som är i klartext.

“Det är svårt att definitivt säga varför detta problem utvecklas, men en möjlighet är att all uppmärksamhet i media ledde berörda systemadministratörer att tro deras system var osäker”, skrev Petterson.

Detta kanske i kombination med administrativa trycket och ett behov av att “göra något”, ledde dem att uppgradera en opåverkad server till en nyare, men ändå buggig version av systemet, kanske på grund av att systemet varianten hade ännu inte officiellt lagas.

Administratörer som gjorde patch opåverkade system med felet bör följa Petterson råd: patch servrarna med rätt uppdatering, återkalla och uppdatera certifikat, och ändra lösenord, i nämnd ordning.

Trots mis-lappade servrar, forskarens genomsökning av 500.000 servrar visade att oro över bristen hade en positiv inverkan, med cirka 75 procent av de drabbade servrar lappade innan Petterson första scan fyra dagar efter felet avslöjades.

Problemet är nu att lappa ansträngningar har avstannat med nästan ingen förändring av antalet drabbade servrar i de två senaste veckorna. Enligt Petterson, har andelen sårbara servrar sjönk från 5,36 procent den 11 april till 2,33 procent i veckan.

Men var andelen redan ner till 2,77 procent bara två veckor efter hans första scan “indikerar att patchning av sårbara servrar har nästan helt slutat”.

Säkerhet forskaren Robert Graham av Errata Security, som har genomfört separata skanningar under den senaste månaden, gjort liknande iakttagelser, denna vecka uppskatta fanns 318,239 heartbleed sårbara system, en minskning från 600.000 en månad sedan.

Ett annat problem som vissa administratörer har slätas över är återkalla och uppdatera certifikat efter lapp. Petterson uppskattar att två tredjedelar av de lappade servrar fortfarande använder samma certifikat som bör enligt hans uppfattning, antas att äventyras.

“Med tanke på att alla servrar som lappat efter April 7 måste antas ha haft sin privata nyckel komprometteras (eftersom brottslingar kan ha använt heartbleed att kompromissa deras server), indikerar detta ett allvarligt problem för användarna av dessa platser,” Petterson noterades.

Internet bromsas av heartbleed identitetskris, heartbleed: Öppen källkod värsta timme, heartbleed: Allvarlig OpenSSL noll dag sårbarhet avslöjas

Ett tredje rapporterade problem, säger Petterson, kommer från F5 Networks BigIP SSL / TLS accelerator, varav några kör sårbara versioner av OpenSSL. Petterson rådde administratörer att säkerställa att om de har installerat en ny BigIP server som de ska uppgradera firmware innan du distribuerar det.

Men i en 12 maj blogg uppdatering, reviderad Petterson detta råd baserat på ytterligare forskning: “Efter närmare undersökning tillsammans med F5, verkar det som, på grund av ett problem med nätverksanslutningen av prober det test som används för att detektera F5 BigIP server visade högre siffror än den borde ha, och antalet sådana servrar fick därför mycket uppblåsta för skanningar som kördes under den senaste månaden. Detta innebär att BigIP relaterad information och slutsatser inte är korrekta, och jag har därför flyttat ner och slog ut avsnittet om BigIP servrar. Jag ber om ursäkt till F5 och deras kunder för detta misstag “.

Administratörer bör också komma ihåg att lappa icke-webbsystem. Ringa efter lugn efter felet avslöjande, säkerhet forskaren Dan Kamisnky rådde administratörer att jaga alla servrar som är beroende av SSL, inklusive VPN.

Hitta något flyttar SSL, särskilt dina SSL VPN, prioritera på öppen inkommande varje TCP-port. Cykel dina konserter om du har dem, du kommer att förlora dem, kanske du redan har, vet vi inte. Men lapp, även om det finns självsignerat certs, är detta en generisk informationsläckage i alla typer av applikationer. Om det inte finns någon patch och förmodligen kommer aldrig att vara, titta på att sätta en TLS proxy framför slutpunkt. Ganska säker stunnel4 kan göra det åt dig.

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

heartbleed

Denna artikel reviderades den 14 maj för att återspegla en korrigering från säkerhetsforskaren Yngve Nysæter Pettersen att ändra sina slutsatser i samband med F5 BigIP servrar.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer