思科Juniper承認(rèn)路由器也存在“心血”漏洞

責(zé)任編輯:一三

2014-04-11 08:51:41

摘自:網(wǎng)易科技

4月11日消息,據(jù)國(guó)外媒體報(bào)道,被稱為“心血”的高風(fēng)險(xiǎn)加密漏洞并非只影響網(wǎng)站,思科與Juniper兩家設(shè)備廠商日前表示,自己的部分網(wǎng)絡(luò)硬件產(chǎn)品上也出現(xiàn)了這類漏洞。

4月11日消息,據(jù)國(guó)外媒體報(bào)道,被稱為“心血”的高風(fēng)險(xiǎn)加密漏洞并非只影響網(wǎng)站,思科與Juniper兩家設(shè)備廠商日前表示,自己的部分網(wǎng)絡(luò)硬件產(chǎn)品上也出現(xiàn)了這類漏洞。

兩大網(wǎng)絡(luò)設(shè)備制造商的表態(tài)意味著,黑客也可以在企業(yè)網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上利用這一漏洞,非法獲取用戶名、密碼以及其他敏感信息。

包括雅虎、亞馬遜以及Netflix在內(nèi)的許多網(wǎng)站都受到了“心血”漏洞的影響。大部分網(wǎng)站自周一獲知這一消息后便修復(fù)了該漏洞。但是,思科與Juniper兩家公司表示,這一安全缺陷也會(huì)影響企業(yè)與家庭中使用的路由器、交換機(jī)與防火墻。

在這類硬件設(shè)備上出現(xiàn)的漏洞可能更難修復(fù)。安全專家表示,修復(fù)這類設(shè)備的漏洞需要采取更多步驟,而企業(yè)一般不太可能去檢查網(wǎng)絡(luò)設(shè)備的狀態(tài)。

網(wǎng)絡(luò)安全研究員兼密碼研究員布魯斯·施耐爾(Bruce Schneier)表示,“整個(gè)升級(jí)過(guò)程需要拋棄舊設(shè)備,拿上信用卡,親自去一趟百思買買個(gè)新產(chǎn)品。”

但這可能稱不上是一個(gè)合理的解決方案:很可能在周一漏洞公布前,商店中的產(chǎn)品就上架銷售了。所以消費(fèi)者購(gòu)買的新產(chǎn)品可能也會(huì)包含有缺陷的軟件。此漏洞涉及到一個(gè)名為OpenSSL的加密協(xié)議。

約翰霍普金斯大學(xué)的密碼專家馬修·格林(Matthew Green)表示,公司通常會(huì)使用防火墻和虛擬專用網(wǎng)(VPN)來(lái)保護(hù)自己的電腦系統(tǒng)。但如果運(yùn)行防火墻和VPN的機(jī)器受到了“心血”漏洞的影響,攻擊者就可以通過(guò)這些設(shè)備滲透進(jìn)網(wǎng)絡(luò)。

“這非常糟糕。因?yàn)檫B接到這些設(shè)備上的人太多了,”格林說(shuō)。

格林與其他人士表示,這個(gè)漏洞也可能會(huì)影響部分家庭網(wǎng)絡(luò)設(shè)備,例如無(wú)線路由器。

思科在周四更新了一篇客戶通告,表示旗下有數(shù)十款產(chǎn)品“受到一種漏洞的影響。未授權(quán)的遠(yuǎn)程攻擊者可以通過(guò)該漏洞獲取”敏感信息。在這篇通告中,思科稱公司目前正在調(diào)查65款產(chǎn)品,另有16款產(chǎn)品已經(jīng)被證實(shí)存在漏洞。

思科表示,公司會(huì)盡快向客戶推出升級(jí)補(bǔ)丁。同時(shí),該公司的安全研究人員提供了工具軟件下載,稱該軟件可以檢測(cè)到是否有黑客利用這一漏洞。思科發(fā)言人在接受采訪時(shí)請(qǐng)求記者參看發(fā)表在公司網(wǎng)站上的通告。

Juniper則表示,升級(jí)旗下設(shè)備或許需要等待一段時(shí)間。Juniper發(fā)言人稱,“這不像是打開開關(guān)那么簡(jiǎn)單。我不知道這些問題需要多長(zhǎng)時(shí)間才可以解決。”

為了防止攻擊,網(wǎng)站和網(wǎng)絡(luò)設(shè)備會(huì)使用加密方式,將敏感信息轉(zhuǎn)化為不可讀的文本。由于撰寫加密協(xié)議非常復(fù)雜,開發(fā)者通常使用一種名為OpenSSL的免費(fèi)開源協(xié)議。該項(xiàng)目?jī)H由四名歐洲程序員管理。

“心血”漏洞兩年前首次被發(fā)現(xiàn)存在于OpenSSL中。在該協(xié)議被攻破后,黑客可以從服務(wù)器和設(shè)備上獲取數(shù)據(jù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)