Heartbleed: Nach Jahren noch hunderttausende Server ungepatcht

Informationen zu dem Bug wurden erstmals im April des Jahres 2014 öffentlich bekannt. Von Heartbleed waren damals alle Versionen der OpenSSL-Bibliothek betroffen, die seit dem Jahr 2011 herausgegeben wurden. Der Fehler ermöglichte erfolgreiche Angriffe auf verschlüsselte Web-Verbindungen, was insbesondere die standardmäßig Übermittlung von Zugangsdaten und diversen anderen sensiblen Informationen anfällig machte.

Beim Suchmaschinen-Betreiber Shodan hat man sich kürzlich wohl an die Aufregung erinnert, die die Sicherheits- als auch die ganze Netzcommunity damals erfasste. Daraufhin startete man einen aktuellen Scan und sah nach, wie viele Systeme noch immer mit der alten Sicherheitslücke am Netz hängen. Gefunden wurden letztlich rund 200.000 Dienste, die weiterhin über ungepatchte OpenSSL-Installationen angreifbar sind.

Oft auf Cloud-VMs

Woran es genau liegt, dass noch immer so viele betroffene Systeme zu finden sind, ist nicht genau geklärt. Es dürfte aber schlicht eine ganze Reihe von Servern geben, um die sich im Grunde seit drei Jahren niemand mehr intensiver gekümmert hat, weil sie ihre eigentlichen Aufgaben seitdem schlicht erfüllen.

Einen anderen Teil könnten aber auch fertige Images ausmachen, die immer wieder auf virtuelle Maschinen installiert werden. Immerhin finden sich die meisten Dienste, die noch immer über Heartbleed attackiert werden können, auf Amazons AWS-Cloud. Aber auch in den Rechenzentren deutsche Hoster lassen sich noch tausende ungepatchte Server finden. Hinsichtlich der Verteilung über die Welt kommen Maschinen, die zum deutschen IP-Kontingent gehören, auf den vierten Platz nach den USA, Südkorea und China.