Heartbleed også i nettutstyr

Nettutstyrsleverandørene Cisco og Juniper advarer at sårbarheten «Heartbleed» i «Heartbeat»-modulen i OpenSSL rammer også systemvaren i flere av deres produkter, blant dem rutere, svitsjer og brannmurer.

Cisco beskriver dette i sikkerhetsvarselet OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products, der de lister hvilke produkter som er rammet og hva slags tiltak er påkrevet for å gjenopprette normal sikkerhet.

Cisco skriver at sårbarheten kan utnyttes til å hente ut deler av minnet til en klient eller til en server, og at dette kan potensielt omfatte også følsom informasjon som private krypteringsnøkler.

Junipers supportside lenker til informasjon om hvordan Heartbleed rammer deres utstyr under overskriften «High Alert». Denne lenken krever brukernavn og passord. Søk på Junipers «Knowledge Center» gir to treff på Heartbleed: Details on fixes for OpenSSL “Heartbleed” issue og Multiple products affected by OpenSSL “Heartbleed” issue. Her kommer det fram at versjon 13.2 og tidligere av Junos OS ikke er sårbar. Versjonen som er sårbar, er Junos OS 13.3R1.

Kryptografi-ekspert Matthew Green ved Johns Hopkins University sier til Wall Street Journal at sårbart nettverksutstyr i brannmurer og VPN-løsninger kan utnyttes av angripere for å infiltrere et nettverk.

Det sårbare utstyret selges til både bedrifter og forbrukere. Cisco og Juniper sier de arbeider på spreng for å framstille systemvarefikser, men advarer at de ikke vet hvor lang tid dette vil ta. Når fikser er klare, kan det også gå tregt å oppdatere selve systemvaren.

Digi.no viste i går til Bruce Schneier, en anerkjent uavhengig kryptograf som også blogger om Heartbleed. Bloggen er nå oppdatert med en advarsel om at det antakelig finnes ikke-oppgraderbare integrerte løsninger som bruker OpenSSL-versjon med Heartbleed-sårbarheten. Da er det i så fall bare én måte å kvitte seg med sårbarheten på: Skrote utstyret og kjøpe nytt.

I en annen oppdatering til den samme bloggen viser Schneier til troverdige indikasjoner på at Heartbleed kan ha blitt utnyttet av etterretningstjenester i november 2013, utover det opprinnelige materialet referert i Ars Technica.

Leave a Reply

Your email address will not be published.