能利用Heartbleed漏洞的不只是黑客 也可以是研究人员

日期: 2014-04-16 作者:Brandan Blevins翻译:周南 来源:TechTarget中国 英文

“心脏出血(Heartbleed)”OpenSSL漏洞震惊了整个安全市场,如今,它的影响已经超出理论上的危险程度:有两家企业报告称他们已经因为该漏洞而遭受攻击者攻击。

英国的一家育儿网站Mumsnet表示,他们最早听说Heartbleed漏洞是在4月10日,也就是该漏洞曝光后的第三天,他们立即对所有服务器进行了测试。一旦检测出易受攻击的情况,Mumsnet网站就立即采用OpenSSL的修补版本,但是就在4月11日,攻击者还是成功利用该漏洞访问了Mumsnet网站用户的账户数据。

上周末,Mumsnet网站决定强制其所有用户重新设置了登陆信息,尽管Mumsnet并不确认有人把利用Heartbleed漏洞用于恶意目的。

Mumsnet表示:“攻击者一旦利用了该漏洞,他就可以登陆你的账号,浏览你的历史记录、个人信息、注册信息等,尽管目前我们还没有证据证明有用户的账户信息被用于恶意目的,也不确定Mumsnet网站的哪些用户受到该漏洞的影响。而最糟糕的情况是,攻击者已经访问了Mumsnet网站的所有用户的账户数据。这也是我们要求所有用户重置密码的原因。”

另外,加拿大税务局(CRA)在一份声明中表示,有人利用Heartbleed漏洞,将大约900名纳税人的社会保险号码从系统中删除。其实,CRA在得知Heartbleed漏洞后就暂停了其网上税务申报服务,但还是为时已晚。

CRA在应用了Heartbleed漏洞补丁并测试其系统安全性以后,于上周日重新推出了在线服务,但是CRA表示,漏洞的修补工作还会继续。

CRA称:“我们目前正在分析其它的数据信息,有一些涉及到企业的数据可能也已经被删除了。尽管进行了严格的控制,我们还是成为众多受到OpenSSL漏洞影响的企业之一,不过幸亏我们有加拿大服务共享局和其他安全合作伙伴的支持,在系统恢复之前,其它数据没有被继续泄露。此外,到目前为止的分析数据显示,还没有其它CRA机构数据泄露事件发生。”

这些Heartbleed漏洞利用足以显示了攻击者收集敏感信息的能力,但是,这个漏洞还有一个致命的问题:攻击者可以利用该漏洞窃取SSL密钥。

CloudFlare和Akamai已经发现Heartbleed漏洞的复杂性

两家安全厂商已意识到Heartbleed漏洞问题的严重性,越来越多的安全专家也都表示,这是互联网有史以来最广泛的漏洞之一。

在上周的一篇博客中,总部位于旧金山的内容分发网络公司CloudFlare修补了其基于早期披露的OpenSSL版本,试图缓解Heartbleed漏洞容易导致密钥数据泄露的问题,尤其是Nginx服务器。

CloudFlare的Nick Sullivan表示:“通过在我们的软件堆栈上的严格测试,现在攻击者已经无法再利用Heartbleed漏洞来窃取服务器上的密钥数据。”

为了做这项测试,CloudFlare举行了一场挑战赛,在其Nginx服务器上设置了一个OpenSSL漏洞版本,让挑战者利用Heartbleed从服务器上窃取密钥。在挑战开始九小时以后,俄罗斯软件工程师Fedor Indutny完成了任务,但是需要发送超过250万个heartbeat请求。仅次于Indutny的是来自芬兰的信息安全顾问Ilkka Mattila,但也需要发送十万个请求。

Indutny随后在其博客中发布了他利用Heartbleed漏洞的提取脚本,并指出,该漏洞不会立即产生严重后果。尽管该漏洞想被利用需要很长时间,CloudFlare还是根据该挑战结果及时采取措施替换了管理用户的SSL密钥。

CloudFlare称:“根据该报告的结果,我们的建议是,每个用户都应该重发或撤销其密钥。”

另外,Akamai公司为了保护其客户免受Heartbleed漏洞威胁,于上周末撤销了之前发布的补丁。

意识到Heartbleed漏洞严重性后,Cambridge的厂商发布了一个内存分配工具,以防止SSL密钥的泄露。但是,在上周日晚上的一篇博客中,Akamai的首席安全官(CSO)Andy Ellis表示,安全研究人员Willem Pinckaers与Akamai联系并报告在其Heartbleed修复中有一个漏洞。

Ellis表示:“因此,我们已经开始处理所有用户的SSL密钥/认证,有一些认证可以很快处理完,但是有一些认证需要证书颁发机构额外的认证,可能耗时比较长。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

翻译

周南
周南

TechTarget中国特约编辑,某厂商网络管理者。

相关推荐