安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

Heartbleed漏洞复杂性超乎想象

作者:企业网D1net出处:论坛2014-04-18 09:10

  “心脏出血(Heartbleed)”OpenSSL漏洞震惊了整个安全市场,如今,它的影响已经超出理论上的危险程度:有两家企业报告称他们已经因为该漏洞而遭受攻击者攻击。英国的一家育儿网站Mumsnet表示,他们最早听说Heartbleed漏洞是在4月10日,也就是该漏洞曝光后的第三天,他们立即对所有服务器进行了 测试。一旦检测出易受攻击的情况,Mumsnet网站就立即采用OpenSSL的修补版本,但是就在4月11日,攻击者还是成功利用该漏洞访问了 Mumsnet网站用户的账户数据。

  上周末,Mumsnet网站决定强制其所有用户重新设置了登陆信息,尽管Mumsnet并不确认有人把利用Heartbleed漏洞用于恶意目的。

  Mumsnet表示:“攻击者一旦利用了该漏洞,他就可以登陆你的账号,浏览你的历史记录、个人信息、注册信息等,尽管目前我们还没有证据证明有用户的账 户信息被用于恶意目的,也不确定Mumsnet网站的哪些用户受到该漏洞的影响。而最糟糕的情况是,攻击者已经访问了Mumsnet网站的所有用户的账户 数据。这也是我们要求所有用户重置密码的原因。”

  另外,加拿大税务局(CRA)在一份声明中表示,有人利用Heartbleed漏洞,将大约900名纳税人的社会保险号码从系统中删除。其实,CRA在得知Heartbleed漏洞后就暂停了其网上税务申报服务,但还是为时已晚。

  CRA在应用了Heartbleed漏洞补丁并测试其系统安全性以后,于上周日重新推出了在线服务,但是CRA表示,漏洞的修补工作还会继续。

  CRA称:“我们目前正在分析其它的数据信息,有一些涉及到企业的数据可能也已经被删除了。尽管进行了严格的控制,我们还是成为众多受到OpenSSL漏 洞影响的企业之一,不过幸亏我们有加拿大服务共享局和其他安全合作伙伴的支持,在系统恢复之前,其它数据没有被继续泄露。此外,到目前为止的分析数据显 示,还没有其它CRA机构数据泄露事件发生。”

  这些Heartbleed漏洞利用足以显示了攻击者收集敏感信息的能力,但是,这个漏洞还有一个致命的问题:攻击者可以利用该漏洞窃取SSL密钥。

  CloudFlare和Akamai已经发现Heartbleed漏洞的复杂性

  两家安全厂商已意识到Heartbleed漏洞问题的严重性,越来越多的安全专家也都表示,这是互联网有史以来最广泛的漏洞之一。

  在上周的一篇博客中,总部位于旧金山的内容分发网络公司CloudFlare修补了其基于早期披露的OpenSSL版本,试图缓解Heartbleed漏洞容易导致密钥数据泄露的问题,尤其是Nginx服务器。

  CloudFlare的Nick Sullivan表示:“通过在我们的软件堆栈上的严格测试,现在攻击者已经无法再利用Heartbleed漏洞来窃取服务器上的密钥数据。”

  为了做这项测试,CloudFlare举行了一场挑战赛,在其Nginx服务器上设置了一个OpenSSL漏洞版本,让挑战者利用Heartbleed从 服务器上窃取密钥。在挑战开始九小时以后,俄罗斯软件工程师Fedor Indutny完成了任务,但是需要发送超过250万个heartbeat请求。仅次于Indutny的是来自芬兰的信息安全顾问Ilkka Mattila,但也需要发送十万个请求。

  Indutny随后在其博客中发布了他利用Heartbleed漏洞的提取脚本,并指出,该漏洞不会立即产生严重后果。尽管该漏洞想被利用需要很长时间,CloudFlare还是根据该挑战结果及时采取措施替换了管理用户的SSL密钥。

  CloudFlare称:“根据该报告的结果,我们的建议是,每个用户都应该重发或撤销其密钥。”

  另外,Akamai公司为了保护其客户免受Heartbleed漏洞威胁,于上周末撤销了之前发布的补丁。

  意识到Heartbleed漏洞严重性后,Cambridge的厂商发布了一个内存分配工具,以防止SSL密钥的泄露。但是,在上周日晚上的一篇博客 中,Akamai的首席安全官(CSO)Andy Ellis表示,安全研究人员Willem Pinckaers与Akamai联系并报告在其Heartbleed修复中有一个漏洞。

  Ellis表示:“因此,我们已经开始处理所有用户的SSL密钥/认证,有一些认证可以很快处理完,但是有一些认证需要证书颁发机构额外的认证,可能耗时比较长。”

相关文章

关键词:Heartbleed heartbeat 漏洞补丁

责任编辑:李荣欣

网警备案