OpenSSL-Webseite über Hypervisor kompromittiert
Bei einem Angriff auf die Webseite der Verschlüsselungsbibliothek OpenSSL wurde die Virtualisierungstechnologie des Webhosters missbraucht.
- Fabian A. Scherschel
Am vergangenen Wochenende wurde die Webseite der Verschlüsselungsbibliothek OpenSSL von Hackern übernommen und verunstaltet. Der Angriff ist aber nicht nur wegen des Ziels interessant, sondern vor allem wegen den Informationen über die Art des Hacks, die im Laufe der letzten Tage bekannt wurden. Die Betreiber der Seite geben an, dass der Angriff nicht über das eigentliche Betriebssystem ihres Webservers erfolgte, sondern über den Hypervisor der Virtualisierungssoftware des Webhosters.
Die Administratoren des OpenSSL-Projektes haben sich bis jetzt nicht dazu geäußert, welcher Hypervisor betroffen ist. Mittlerweile wird auf Grund von Routing-Informationen darüber spekuliert, dass der Serverbetreiber IndIT Hosting betroffen war. Diese Firma gibt an, ESXi von VMware und die Linux-Kernel-Virtualisierung KVM zu benutzen. VMware hat nun mitgeteilt, dass man nicht davon ausgehe, dass seine Produkte in diesem Fall betroffen seien. Man habe dies im Gespräch mit der OpenSSL Foundation und deren Hostingfirma ausgeschlossen.
Der OpenSSL-Code selbst wurde bei dem Angriff zu hoher Wahrscheinlichkeit nicht beeinflusst. Da der Quellcode mit Git verwaltet wird, konnten die Entwickler ihre Version mit der in anderen Repositories vergleichen und die Hashes der einzelnen Änderungen überprüfen. Außer der Datei index.html im Hauptverzeichnis der Projekt-Webseite sei nichts verändert worden. Man arbeite mit der Hostingfirma zusammen, um zu verhindern, dass die Hypervisorlücke in Zukunft weiter missbraucht werden könne. Danach wollen die Administratoren dann mehr Informationen über den Angriff veröffentlichen.
Update 12:20, 4.1.2013: In der abschließenden Stellungnahme erklärt das OpenSSL-Team, dass der Einbruch anscheinend nicht wie zunächst angenommen, durch eine Lücke im Hypervisor erfolgte, sondern über ein unsicheres Passwort des Hosting Providers. Über das erlangten die Angreifer Kontrolle über die Hypervisor-Management-Konsole und konnten darüber den Virtuellen Server manipulieren.
(Überschrift und Anrisstext dieser Meldung bezogen sich ursprünglich auf die vermutete Lücke und wurden deshalb korrigiert) (fab)
