Heartbleed漏洞復(fù)雜性超乎想象

責(zé)任編輯:editor004

2014-04-17 16:49:09

摘自:TechTarget中國

這些Heartbleed漏洞利用足以顯示了攻擊者收集敏感信息的能力,但是,這個漏洞還有一個致命的問題:攻擊者可以利用該漏洞竊取SSL密鑰。CloudFlare的Nick Sullivan表示:“通過在我們的軟件堆棧上的嚴(yán)格測試,現(xiàn)在攻擊者已經(jīng)無法再利用Heartbleed漏洞來竊取服務(wù)器上的密鑰數(shù)據(jù)

“心臟出血(Heartbleed)”OpenSSL漏洞震驚了整個安全市場,如今,它的影響已經(jīng)超出理論上的危險程度:有兩家企業(yè)報告稱他們已經(jīng)因為該漏洞而遭受攻擊者攻擊。英國的一家育兒網(wǎng)站Mumsnet表示,他們最早聽說Heartbleed漏洞是在4月10日,也就是該漏洞曝光后的第三天,他們立即對所有服務(wù)器進(jìn)行了 測試。一旦檢測出易受攻擊的情況,Mumsnet網(wǎng)站就立即采用OpenSSL的修補版本,但是就在4月11日,攻擊者還是成功利用該漏洞訪問了 Mumsnet網(wǎng)站用戶的賬戶數(shù)據(jù)。

上周末,Mumsnet網(wǎng)站決定強(qiáng)制其所有用戶重新設(shè)置了登陸信息,盡管Mumsnet并不確認(rèn)有人把利用Heartbleed漏洞用于惡意目的。

Mumsnet表示:“攻擊者一旦利用了該漏洞,他就可以登陸你的賬號,瀏覽你的歷史記錄、個人信息、注冊信息等,盡管目前我們還沒有證據(jù)證明有用戶的賬 戶信息被用于惡意目的,也不確定Mumsnet網(wǎng)站的哪些用戶受到該漏洞的影響。而最糟糕的情況是,攻擊者已經(jīng)訪問了Mumsnet網(wǎng)站的所有用戶的賬戶 數(shù)據(jù)。這也是我們要求所有用戶重置密碼的原因。”

另外,加拿大稅務(wù)局(CRA)在一份聲明中表示,有人利用Heartbleed漏洞,將大約900名納稅人的社會保險號碼從系統(tǒng)中刪除。其實,CRA在得知Heartbleed漏洞后就暫停了其網(wǎng)上稅務(wù)申報服務(wù),但還是為時已晚。

CRA在應(yīng)用了Heartbleed漏洞補丁并測試其系統(tǒng)安全性以后,于上周日重新推出了在線服務(wù),但是CRA表示,漏洞的修補工作還會繼續(xù)。

CRA稱:“我們目前正在分析其它的數(shù)據(jù)信息,有一些涉及到企業(yè)的數(shù)據(jù)可能也已經(jīng)被刪除了。盡管進(jìn)行了嚴(yán)格的控制,我們還是成為眾多受到OpenSSL漏 洞影響的企業(yè)之一,不過幸虧我們有加拿大服務(wù)共享局和其他安全合作伙伴的支持,在系統(tǒng)恢復(fù)之前,其它數(shù)據(jù)沒有被繼續(xù)泄露。此外,到目前為止的分析數(shù)據(jù)顯 示,還沒有其它CRA機(jī)構(gòu)數(shù)據(jù)泄露事件發(fā)生。”

這些Heartbleed漏洞利用足以顯示了攻擊者收集敏感信息的能力,但是,這個漏洞還有一個致命的問題:攻擊者可以利用該漏洞竊取SSL密鑰。

CloudFlare和Akamai已經(jīng)發(fā)現(xiàn)Heartbleed漏洞的復(fù)雜性

兩家安全廠商已意識到Heartbleed漏洞問題的嚴(yán)重性,越來越多的安全專家也都表示,這是互聯(lián)網(wǎng)有史以來最廣泛的漏洞之一。

在上周的一篇博客中,總部位于舊金山的內(nèi)容分發(fā)網(wǎng)絡(luò)公司CloudFlare修補了其基于早期披露的OpenSSL版本,試圖緩解Heartbleed漏洞容易導(dǎo)致密鑰數(shù)據(jù)泄露的問題,尤其是Nginx服務(wù)器。

CloudFlare的Nick Sullivan表示:“通過在我們的軟件堆棧上的嚴(yán)格測試,現(xiàn)在攻擊者已經(jīng)無法再利用Heartbleed漏洞來竊取服務(wù)器上的密鑰數(shù)據(jù)。”

為了做這項測試,CloudFlare舉行了一場挑戰(zhàn)賽,在其Nginx服務(wù)器上設(shè)置了一個OpenSSL漏洞版本,讓挑戰(zhàn)者利用Heartbleed從 服務(wù)器上竊取密鑰。在挑戰(zhàn)開始九小時以后,俄羅斯軟件工程師Fedor Indutny完成了任務(wù),但是需要發(fā)送超過250萬個heartbeat請求。僅次于Indutny的是來自芬蘭的信息安全顧問Ilkka Mattila,但也需要發(fā)送十萬個請求。

Indutny隨后在其博客中發(fā)布了他利用Heartbleed漏洞的提取腳本,并指出,該漏洞不會立即產(chǎn)生嚴(yán)重后果。盡管該漏洞想被利用需要很長時間,CloudFlare還是根據(jù)該挑戰(zhàn)結(jié)果及時采取措施替換了管理用戶的SSL密鑰。

CloudFlare稱:“根據(jù)該報告的結(jié)果,我們的建議是,每個用戶都應(yīng)該重發(fā)或撤銷其密鑰。”

另外,Akamai公司為了保護(hù)其客戶免受Heartbleed漏洞威脅,于上周末撤銷了之前發(fā)布的補丁。

意識到Heartbleed漏洞嚴(yán)重性后,Cambridge的廠商發(fā)布了一個內(nèi)存分配工具,以防止SSL密鑰的泄露。但是,在上周日晚上的一篇博客 中,Akamai的首席安全官(CSO)Andy Ellis表示,安全研究人員Willem Pinckaers與Akamai聯(lián)系并報告在其Heartbleed修復(fù)中有一個漏洞。

Ellis表示:“因此,我們已經(jīng)開始處理所有用戶的SSL密鑰/認(rèn)證,有一些認(rèn)證可以很快處理完,但是有一些認(rèn)證需要證書頒發(fā)機(jī)構(gòu)額外的認(rèn)證,可能耗時比較長。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號