在備受關注的Heartbleed漏洞被曝光的一個多月之后,調查發(fā)現(xiàn)這個嚴重的OpenSSL漏洞仍然存在于數(shù)十萬臺服務器以及一些SSL端口中,這主要是因為整個行業(yè)的響應工作不到位。
這個Heartbleed漏洞早在2011年12月就被植入了OpenSSL代碼,直到2014年4月初才被發(fā)現(xiàn),該漏洞是因為沒有對廣泛使用的OpenSSL加密庫中的TLS heartbeat extension處理進行漏洞檢查而造成的。
因為Heartbleed漏洞,存儲在數(shù)以百萬計的服務器和客戶端的內存中的敏感數(shù)據(jù)都可能被泄露。并且,雖然沒有證據(jù)表明該漏洞在曝光前被成功利用,或者說,在大多數(shù)情況下該漏洞值得攻擊者進行利用,但在過去一個月中,Heartbleed已經(jīng)被用于真正的攻擊和模擬攻擊中。
然而,盡管信息安全行業(yè)努力宣傳Heartbleed的危害性,該漏洞仍然廣泛存在。上周Errata Security公司首席執(zhí)行官Robert Graham在博客文章中稱,他掃描了互聯(lián)網(wǎng)的端口443,發(fā)現(xiàn)超過30萬臺系統(tǒng)仍然容易受到Heartbleed的影響,雖然這比他一個月前估計的60萬臺系統(tǒng)減少了一半,但這仍然是一個龐大的數(shù)據(jù)。Graham指出他并沒有涵蓋其他已知SSL端口(例如SMTP),另外,這個月他發(fā)現(xiàn)支持SSL的系統(tǒng)減少了約600萬臺。
“這些數(shù)字有些奇怪,上個月,我發(fā)現(xiàn)2800萬臺系統(tǒng)支持SSL,但這個月我只看到2200萬臺系統(tǒng),”Graham表示,“我懷疑,這次人們檢測到了我的Heartbleed‘攻擊’,并在我的掃描完成之前屏蔽了我。或者,另外一個原因可能是,我的ISP(互聯(lián)網(wǎng)服務供應商)可能出現(xiàn)了流量擁塞的情況,從而導致這個數(shù)字減少。”
令人震驚的是,雖然企業(yè)和用戶都在積極采取措施來緩解Heartbleed,但這個過程中卻充斥著各種基本錯誤。上周,分析公司NetCraft公布了一份調查結果顯示,只有14%受該漏洞影響的網(wǎng)站執(zhí)行了完整的三個步驟來緩解這個問題:更換其SSL證書、撤銷舊證書以及使用不同的私鑰簽發(fā)新證書。
Netcraft發(fā)現(xiàn),57%的受影響網(wǎng)站沒有采取任何行動來響應Heartbleed。另外21%的網(wǎng)站使用新私鑰重新簽發(fā)了證書,但沒有撤銷舊證書。最后的5%使用舊私鑰簽發(fā)新證書,這是一個嚴重的錯誤,Netcraft發(fā)現(xiàn)某些加拿大政府網(wǎng)站(包括魁北克省汽車保險局)就犯了這個錯誤,即使在他們受到Heartbleed相關攻擊之后。
“其網(wǎng)站之一secure.saaq.gouv.qc.ca簽發(fā)了新的證書來響應Heartbleed漏洞,以前的漏洞在4月29日被撤銷,”Netcraft表示,“CRL撤銷狀態(tài)列出的原因是‘keyCompromise(密鑰泄露)’,但證書頒發(fā)機構仍然允許使用相同的私鑰來簽發(fā)新證書。這意味著持有被泄露證書的人仍然模擬新證書。”
Heartbleed漏洞的影響范圍不僅限于Web服務器。工業(yè)控制系統(tǒng)計算機應急響應小組(ICS-CERT)上周發(fā)布了一份公告,警告Heartbleed漏洞存在于Digi International制造的五款產(chǎn)品中,Digi International是機器對機器產(chǎn)品和服務供應商,其產(chǎn)品和服務廣泛用于很多SCADA和ICS環(huán)境。
加拿大手機巨頭BlackBerry也被迫更新其多款產(chǎn)品,包括其用于Android和iOS的Blackberry Messenger應用、BlackBerry Enterprise Service 10和BlackBerry Link,與蘋果、甲骨文、西門子等供應商一樣,該公司已經(jīng)發(fā)布了Heartbleed相關的安全補丁。
與普通用戶相比,企業(yè)和政府機構的響應可以說是快捷和高效的。根據(jù)身份盜竊服務供應商LifeLock公司對2000名美國成年人的網(wǎng)上調查顯示,在聽說過Heartbleed的受訪者中,近一半的人還沒有更改其密碼。當被問到為什么時,44%的受訪者表示,他們根本不關心這個漏洞帶來的安全隱患,另外12%認為更改密碼是“大工程”。
雖然很多最大科技公司最近承諾注資數(shù)百萬來幫助保護OpenSSL以及其他重要開源項目抵御下一個Heartbleed,但目前的這個漏洞顯然還沒有得到控制。本周在卡耐基梅隆軟件工程研究所CERT的問答環(huán)節(jié)中,工作人員Jason McCormick建議受到該漏洞影響的企業(yè)升級到最新的OpenSSL版本,并進行徹底的風險評估以發(fā)現(xiàn)該問題的嚴重程度。
“最大的問題是,接下來該怎么做。對于這個問題,并沒有放之四海而皆準的解決方案,企業(yè)將需要根據(jù)自己的風險承受能力和成本來做出決定,”McCormick表示,“所有企業(yè)都應該盡快對易受到Heartbleed影響的聯(lián)網(wǎng)系統(tǒng)重新發(fā)布證書。私鑰材料(可用于解密捕捉數(shù)據(jù)或模擬網(wǎng)站)的潛在泄露讓這個工作變得尤為重要。”