OpenSSL心脏出血漏洞全回顾

近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。

OpenSSL心脏出血漏洞的大概原理是OpenSSL在2年前引入了心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制是作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UDP)都没有做边界的检测,所以导致攻击者可以利用这个漏洞来获得TLS链接对端(可以是服务器,也可以是客户端)内存中的一些数据,至少可以获得16KB每次,理论上讲最大可以获取64KB。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议.多数SSL加密网站是用名为OpenSSL的开源软件包,由于这也是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。

密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。研究人员完整扫描了地址空间,截至4月10日2:00 PM,Alexa排名前百万的网站中有32%支持SSL,在支持HTTPS的网站中,9%存在漏洞,31.9%安全的支持OpenSSL TLS Heartbeat Extension, 59%不支持HeartbeatExtension(也就是安全的)也就是在漏洞爆发的时候全球前一百万的网站中,有40.9%的网站中招。全球第一个被攻击通告的案例加拿大税务局确认heartbleed导致了900个纳税人的社会保障号被盗,这900个纳税人的社保号被攻击者在系统中完全删除了。

这个漏洞对中国有多大影响?漏洞爆发当日国内一线电商几乎都存在此漏洞,淘宝修复最快,大概到4月8日下午5点左右修复漏洞,但这期间可能有不少数据被抓走。还有一些大型网站,例如雅虎的登录存在信息泄露,网易到8日晚上8点还没修复,还有一些在线交易网站泄露用户ID导致可以伪造交易信息。直到4月10晚上爱奇艺还没有修复,但目前大部分主流网站已经修复。所以OpenSSL心脏出血漏洞也堪称中国网络安全的一个灾难事件。

这个漏洞会泄露我们哪些信息?我们的网站登录名和密码、期间修改过的个人隐私信息、期间修改过的密码保护问题答案,还有信用卡信息和邮件服务器的上的邮箱地址和密码hash。很多网站都建议用户事后修改密码,其实还有一些跟密码同样重要的信息,比如你在这个过程中修改过的密保信息也会被读取,更保险的措施是我们也修改掉一些重要的密保信息和隐私信息,因为很多网站相信TLS加密信道。如果是有信用卡绑定的网站就比较麻烦,因为国内不是所有的网站都通过了PCI-DSS安全标准,PCI-DSS里有规定信用卡必须密文保存,而且不能保存CVV信息,如果是通过了PCI-DSS的网站,建议至少修改密码和个人信息。

该漏洞还有哪些后继影响?

1.新的攻击方式已出现,攻击者能利用该漏洞窃走受影响网站的用户密码和私钥,使用存在漏洞的OpenSSL版本的网站应该废除
   所有旧私钥和证书。
2.服务器的问题是第一波,第三方软件使用有缺陷的OpenSSL才是接下来需要考虑的问题,攻击者会利用这个漏洞获取用户原本
   想要保密的信息。存在客户端和服务端的软件也可能存在这个漏洞,甚至恶意利用者可能使用让客户端连接服务器端,服务器
   端发起针对客户端的攻击窃取客户端数据。
3.暴露在外网的服务器虽已得到及时修补,但一些公司内网的服务器却被忽略,很容易被内部恶意读取或是黑客内网渗透读取。
4.一些安全组织甚至在研究利用此漏洞做虚拟机逃逸,在虚拟机中让真实机远程执行代码,且利用思路很诡异。

我们如何有效的修补该漏洞?最简单有效的修补方案是升级到OpenSSL 1.0.1g。目前SNORT也已经出了相关规则,可以用于IDS/IPS拦截,也有很多第三方CDN流量规则拦截。但最新的利用程序是基于TLS加密信道发送的恶意请求,很轻松的绕过基于网络层的IDS和CDN流量层的规则拦截。目前安慧网盾基于软件端采用了加规则拦截并自动修复该漏洞,有效保护服务器安全。

其实在去年还有一个类似的严重安全漏洞lucky-13(CVE-2013-0169),影响了过去10年的所有TLS实现,OpenSSL的很多版本都可以完整的还原成明文,所幸该漏洞利用难度较高,利用程序也未大规模流传,openssl 也专门发布1.0.1e修复了这个漏洞。但是大部分服务器升级了,很多网关设备依然使用存在这个漏洞的版本。

OpenSSL心脏出血漏洞也引起国内安全界的很多讨论:

1.这个漏洞是OpenSSL在2年前引入了心跳(heartbeat)机制来维持TLS链接的长期存在产生。
2. 这个洞的地方其实是经过了OpenSSL社区包括Qualys在内的厂商的代码审计和fuzzing测试,但都没测出问题,当然fuzzing
   后不会崩溃,是不能测出。
3.有人猜测这个洞的样本很可能是来自SOC的NETFLOW审计。而谁的"SOC"是最厉害的?貌似除了BIG BROTHER没其他人了,当然
   这个消息NSA已经否认。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-04-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Hongten

未曾谋面却完成了短信发送功能_API是个好中介

申请到了账号了以后,如果你只希望网页版的短信发送,可以在http://ms.139130.net/进行登录,然后就可以进行短信发送了。

1353
来自专栏安恒信息

域名劫持事件频发 网站安全形势不容忽视

  6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析...

4376
来自专栏Seebug漏洞平台

Ztorg:从 root 到 SMS

自从2016年9月以来,我一直在监控 Google Play 商店的新 Ztorg 木马,到目前为止,还发现了几十个新的恶意应用程序。所有这些都是恶意 root...

2968
来自专栏FreeBuf

技术讨论 | 一次尚未完成的薅羊毛行动

一、背景 XX眼镜,免费领取日抛5日装隐形眼镜活动,发现接收到的手机验证码为4位数字,看到4位验证码时就觉得有搞头。 顺便祝我伦生日快乐,等你下课~ 二、技术手...

2289
来自专栏腾讯云安全的专栏

影响1100万网站的漏洞出没作妖,工程师急cry,怎么办?

2288
来自专栏CreateAMind

汽车CAN协议hacking

作者: Eric Evenchick 翻译:看雪论坛『智能设备应用』版主:gjden

2193
来自专栏信安之路

无线网络 EAP 认证

平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2...

2040
来自专栏黑白安全

新漏洞允许黑客访问处于睡眠模式的电脑

互联网安全公司F-Secure发现了一个新漏洞,几乎影响到每台电脑。新发现的漏洞可能允许黑客在电脑进入睡眠状态时访问加密的硬盘。F-Secure在博客文章中分享...

1183
来自专栏黑白安全

总结常见的10种破解密码方法

为了防止键盘记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而...

6492
来自专栏FreeBuf

革命性创新?走近“高水准”新型勒索软件Spora

勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全...

1996

扫码关注云+社区

领取腾讯云代金券