Na webservers, pc's en thuisrouters blijkt ook netwerkapparatuur in het hart van het internet kwetsbaar voor Heartbleed. Routers, switches, VPN-systemen en andere apparatuur van Cisco en Juniper, twee van de belangrijkste fabrikanten in de netwerkmarkt, zijn kwetsbaar voor het uiterst kritieke OpenSSL-gat. Beide leveranciers doen nog koortsachtig onderzoek en hebben advisories gepublieceerd.

Switches, VPN, IP-telefonie...

Bij Juniper lijkt het grootste probleem de VPN software te zijn, waarvan verschillende producten, waaronder Junos Pulse, kwetsbaar zijn. Van het besturingssysteem voor switches en routers, Junos OS, is alleen 13.3R1 kwetsbaar.

Cisco doet nog onderzoek naar een waslijst aan producten, maar bevestigt al dat een vijftiental kwetsbaar zijn, waaronder een switch, WebEx server, Telepresence-systemen en verschillende IP-telefoons.

De impact van Heartbleed is moeilijk te onderschatten, ondanks dat de kans heel klein is dat kwaadwillenden daadwerkelijk private keys kunnen bemachtigen. Securitygoeroe Bruce Schneier over het OpenSSL-gat: "Catastrofaal is het juiste word. Op een schaal van 1 tot 10 is dit 11."

Vorig jaar al misbruikt?

Ondertussen zijn er aanwijzingen dat het gat al vorig jaar is misbruikt, mogelijk door geheime diensten. Digitale rechtenorganisatie EFF roept netwerkbeheerders op om de logfiles in te duiken om met bewijs te komen.

Ook is er stevig debat over de disclosure-procedure. Een aantal bedrijven was in het geheim van te voren ingelicht, waaronder Google, Facebook, Akamai en Cloudflare. Die patchten hun systemen ook. Ook Canonical en Red Hat werden ingelicht. Maar er ontstond paniek dat hackers het geheime patchprogramma zouden ontdekken en dus werd maandag tot openbaarmaking van het lek besloten, meldt de Wall Street Journal. Daardoor waren bijvoorbeeld Yahoo en Amazon totaal onvoorbereid.

Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed