Netwerkapparatuur van Cisco en Juniper blijkt kwetsbaar voor de Heartbleed-bug in OpenSSL, waarbij clients een deel van het servergeheugen kunnen uitlezen. Ondertussen stelt de ontwikkelaar die de bug waarschijnlijk heeft geïntroduceerd dat het niet om een opzettelijke fout gaat.
Cisco heeft bevestigd dat zestien van zijn routers, switches en ip-telefoons kwetsbaar zijn voor de bug in OpenSSL; van zeker zestig andere producten wordt nog onderzocht of ze kwetsbaar zijn. Ook apparatuur van concurrent Juniper is volgens de Amerikaanse krant The Wall Street Journal kwetsbaar voor de Heartbleed-bug.
Veel websites die kwetsbaar waren hebben de afgelopen dagen OpenSSL-patches uitgerold om zichzelf te beschermen. Beveiligingsonderzoekers raden gebruikers aan om wachtwoorden bij getroffen websites pas te wijzigen als de patch is geïnstalleerd; anders is een wachtwoordwijziging in potentie ook door kwaadwillenden uit te lezen.
Ondertussen stelt de ontwikkelaar die de bug waarschijnlijk heeft geïntroduceerd dat het niet om een opzettelijke fout gaat. Hij noemt de fout 'triviaal', al erkent hij de ernstige impact ervan. "Ik vergat om een variabele die een lengte bevat te valideren", zegt de ontwikkelaar, Robin Segelmann, tegen de Sidney Morning Herald. De fout werd bij het inspecteren van code ook niet opgemerkt.
Ars Technica meldde eerder dat de bug mogelijk twee maanden voor ontdekking door het OpenSSL-team is misbruikt. De Electronic Frontier Foundation vraagt zich af of inlichtingendiensten daar achter zaten. Een van de ip-adressen die zou zijn gebruikt om de bug te misbruiken, zou onderdeel uitmaken van een botnet dat alle gesprekken op FreeNode probeert op te slaan; volgens de EFF is dat niet iets wat een normale internetcrimineel zou doen.
De Heartbleed-bug maakt het mogelijk voor aanvallers om het geheugen van een server met OpenSSL uit te lezen, in chunks van 64 kilobyte. Omdat het interne geheugen wordt uitgelezen, kunnen daarbij onder meer privésleutels worden uitgelezen, evenals ontsleutelde wachtwoorden. Beveiligingsgoeroe Bruce Schneier noemt de kwetsbaarheid 'op de schaal van 1 tot 10 een 11'.