FireEye geeft patch adviezen rond Heartbleed kwetsbaarheid
Aaron Charrington, Threat Intel Analist bij FireEye, heeft een aantal adviezen rond het Heartbleed nieuws. Heartbleed is een ernstige kwetsbaarheid waarbij ‘proof of concept’ code wordt verspreid via het internet. Als deze kwetsbaarheid uitgebuit wordt kan deze gevoelige informatie (64 kilobytes per keer) van de server afhalen.
FireEye heeft diverse lijsten geanalyseerd om te kijken welke sites wel of niet kwetsbaar zijn en welke SSL op hun webservers draaien, aldus Charrington. "Wij roepen bedrijven op om zo snel mogelijk te patchen". Hieronder een aantal tips:
Alle servers die extern ingezet worden moeten eerst gepatcht worden om te voorkomen dat medewerkers verbinden met een potentieel geïnfecteerd systeem
Patch alle servers die authenticatie bieden en waar hackers gevoelige informatie kunnen stelen
Patch alle servers die gevoelige data bevatten zoals personally identifiable information (PII), klantdata, intellectueel eigendom of servers die financiële transacties kunnen doen
Zorg er daarna voor dat alle interne systemen worden gepatcht
Identificeer websites van partners die wellicht door medewerkers worden gebruikt en check of deze ook veilig zijn
Maak en installeer nieuwe certificaten. Organisaties die denken dat ze al aangevallen zijn, moeten er over nadenken of ze oude sleutelparen die net vervangen zijn willen intrekken. Daarnaast moeten ze bekijken of ze alle sessie sleutels en cookies ongeldig moeten maken
Organisaties moeten ook zo snel mogelijk netwerk scans uitvoeren en kijken of er apparaten op OpenSSL draaien. Dit kan het geval zijn voor onder meer apparaten, draadloze toegangspunten en routers. Een voorbeeld zijn VoIP telefoons die verbonden zijn aan het zakelijk netwerk dat op SSL draait. Voor deze apparaten moeten bedrijven wellicht met de leveranciers samenwerken om patches te realiseren.
Tot slot moeten organisaties ervoor zorgen dat medewerkers correct in kunnen loggen op de servers. Daarnaast moeten ze bekijken of er gebruikers op het netwerk zitten die geen toegang hebben en gecompromitteerde data onderzoeken. Tijdens het onderzoek moet met name worden gekeken of er ingelogd wordt vanuit buitenlandse adressen, veelvuldig gebruik wordt gemaakt van de server buiten de gebruikelijke werkuren of dat er veel meer bandbreedte wordt gebruikt.
Door: Witold Kepinski
