2.500 beheerders installeerden per ongeluk de Heartbleed-bug op hun servers

Paniekvoetbal is nooit goed. Dit blijkt ook uit een analyse van het aantal servers dat voor de Heartbleed-bug kwetsbaar is. Nadat de kwetsbaarheid aan het licht kwam hebben maar liefst 2.500 websitebeheerders in hun paniek de verkeerde OpenSSL-update op hun veilige website geïnstalleerd, waardoor nu ook deze websites kwetsbaar zijn voor de Heartbleed-bug.

Dit heeft Yngve Pettersen, een Noorse ontwikkelaar van de webbrowser Opera, ontdekt. De ontwikkelaar besloot een half miljoen servers te scannen en ontdekte dat 2,33% hiervan nog steeds kwetsbaar is voor de Heartbleed-bug. Niet ongevaarlijk, aangezien cybercriminelen deze bug kunnen gebruiken om de inhoud van het intern geheugen te stelen. In dit geheugen wordt allerlei informatie opgeslagen, waaronder wachtwoorden, sessiecookies en zelfs de privésleutels van SSL-certificaten.

Onveilige SSL-implementatie geïnstalleerd
Een opvallend resultaat van de analyse is echter dat maar liefst 20 procent van alle servers die nu kwetsbaar zijn voor de Heartbleed-bug pas kwetsbaar zijn geworden nadat de bug werd ontdekt. Onder BigIP-servers van F5 Networks ligt dit percentage zelfs op 32 procent. Dit betekent dat beheerders hun veilige website dus van een onveilige OpenSSL-implementatie hebben voorzien. Door deze blunder lopen bezoekers van deze websites nu juist wel risico slachtoffer te worden van de bug.

Waardoor zo'n grote groep beheerders de fout in is gegaan is niet helemaal duidelijk. Vermoedelijk is er paniek ontstaan onder de beheerders nadat media massaal berichtten over de gevaren van de Heartbleed-bug. In een poging hun bezoekers te beschermen zijn zij dus de fout in gegaan.

WH