Det er nå mer enn en måned siden Heartbleed-sårbarheten i det mye brukte kryptobiblioteket ble kjent. Det fikk mange serveradministratorer til å kaste seg rundt. Den sårbare utgaven måtte skiftes ut med en utgave uten programmeringsfeilen. Sikkerhetsnøklene måtte genereres på nytt og de tidligere sertifikatene måtte tilbakekalles.
Svært mange har gjort dette, men langt fra alle. Robert Graham i Errata Security skriver i et blogginnlegg en fersk skanning etter sårbare servere viser at antallet kan ha blitt halvert den siste måneden, men at det fortsatt gjenstår svært mange servere benytter OpenSSL med Heartbleed.
I den siste skanningen fant Graham omtrent 22 millioner servere med støtte for SSL. Omtrent 1,5 millioner av disse hadde støtte for Heartbeat-funksjonen hvor Heartbleed-sårbarheten oppstod. Det er kun OpenSSL som støtter Heartbeat. De øvrige serverne er basert på andre SSL-løsninger eller OpenSSL-versjoner uten Heartbeat-støtte.
Men drøyt 300 000 av systemene benytter fortsatt en versjon av OpenSSL hvor Heartbleed-sårbarheten er til stede.
Graham forklarer at skanningen er basert på IPv4-adresser og maskiner som svarer på SSL-handshake. Antallet berørte domener kan være et helt annet.
Oppdaterer til Heartbleed
Også Yngve N. Pettersen i Vivaldi Technologies har gjort lignende undersøkelser. Han har dessuten gjort en ganske oppsiktsvekkende oppdagelse. 20 prosent av serverne som nå er sårbare, var ikke sårbare tidligere.
– Dette betyr at tusenvis av steder har gått fra ikke å ha et Heartbleed-problem, til å ha et Heartbleed-problem, skriver Pettersen, men legger til at dette forutsetter at serverne ikke har fått ny IP-adresse i løpet av perioden.
En type servere som ofte benyttes av store nettsteder med mange brukere, F5 BigIP*, skiller seg negativt ut. Hele 32 prosent av de BigIP-serverne som nå er sårbare, ikke har vært det tidligere. I tillegg har Pettersen registrert at det har dukket opp mange nye BigIP-servere med den sårbare OpenSSL-versjonen installert. Han mener at disse har blitt tatt i bruk uten at programvaren først har blitt oppdatert.
*Oppdatering 13.05.2014: Jon Bjørnland i F5 Norge har kontaktet digi.no for å fortelle at det Pettersen skriver om F5 BigIP, ikke stemmer, da disse systemene kun bruker OpenSSL i forbindelse med administrasjonsgrensesnitt som i utgangspunktet ikke er tilgjengelige via internett. Også Pettersen har oppdatert blogginnlegget for med informasjon om dette.
Les også:
- [30.10.2014] Slapp med skrekken etter Heartbleed
- [30.07.2014] «Heartbleed»: - Feilfiks holder ikke
- [23.06.2014] 300.000 har fått varig heartbleed
- [06.06.2014] «Ny», alvorlig sårbarhet rammer OpenSSL
- [25.04.2014] Slik skal neste «Heartbleed» stoppes
- [08.04.2014] Ekstremt alvorlig sårbarhet i OpenSSL
