Servers en routers getroffen door OpenSSL-lek

© PXimport

Servers en routers getroffen door OpenSSL-lek

Geplaatst: 9 april 2014 - 07:52

Aangepast: 16 november 2022 - 09:57

Redactie ID.nl

OpenSSL, de meestgebruikte versleutelingssoftware voor beveiligde internetverbindingen, is lek. De zogeheten Heartbleed-bug zorgt voor een massale update- en 'opnieuw-instel'-golf. Niet alleen bij webservers maar ook bij routers, modems en andere apparatuur en diensten.

De impact van het zeer ernstige Heartbleed-lek in OpenSSL gaat veel verder dan webservers, al zijn die in eerste instantie het laaghangende fruit voor kwaadwillenden. Meteen werd duidelijk dat ook talloze pc's die op opensource besturingssystemen draaien kwetsbaar zijn, en datzelfde geldt voor ontelbaar veel andere hardware, zoals routers, modems, mailservers en appliances.

Geen controle over routers

Het gros van deze apparaten draait een versie van (embedded) Linux en OpenSSL. Voor de gemiddelde gebruiker is het echter ondoenlijk om na te gaan of hun router kwetsbaar is, constateren experts bij The Register. Het is geheel aan leveranciers en providers om deze apparaten te updaten indien nodig.

Voor webservers is er een handige tool beschikbaar, die iedereen kan gebruiken. Hieruit bleek dat tientallen van 's werelds grootste sites en webdiensten kwetsbaar waren, waaronder Yahoo, die plaintext usernames en wachtwoorden lekte, zo bevestigde onder meer Fox-IT en SurfRight. Dinsdagavond Nederlandse tijd sloot Yahoo eindelijk het gat, na een etmaal data bloeden. Ook wachtwoorddienst LastPass was kwetsbaar, maar volgens het concern is data niet in gevaar geweest door een extra laag van encryptie.

Wachtwoorden wijzigen

Ondanks alle terechte ophef en paniek is het overigens nog niet duidelijk in welk scenario Heartbleed ook daadwerkelijk private keys lekt. Door de bug wordt er bij elke aanvraag telkens 64 KB aan data uit het geheugen gelekt, maar de kans dat hier een complete sleutel bij zit lijkt heel klein en hangt af van de configuratie van het onderliggende systeem.

Eindgebruikers wordt aangeraden hun wachtwoord bij diensten die kwetsbaar waren te wijzigen, maar pas nadat er een nieuwe sleutel en een nieuw SSL-certificaat is.

Ook de bekende techsite Ars Technica meldt dat hun webserver kwetsbaar was voor Heartbleed en er gebruikersnamen en wachtwoorden zijn gelekt. Lezers moeten hun wachtwoord wijzigen.

Bron: Webwereld

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000