安恒信息提示：OpenSSL致命"心血"漏洞可能持续发酵，内网不保易造成“后院起火”

4月8日公开OpenSSL“心脏出血”这一致命漏洞细节后引起了全球互联网的安全“地震”，国内外一些大型互联网企业的相关V**、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器均受此影响，此外还波及到一些政府和高校网站服务器。

图：全球某著名综合性门户商业网站存在OpenSSL“心脏出血”漏洞导致用户账号密码泄漏（现已修复）

虽然事后OpenSSL官方机构及各企业都已经发布相关补丁，但是安恒信息风暴中心发现该漏洞的“余震”仍在持续发酵，目前互联网上已经出现了多个针对该 漏洞的攻击利用代码，同时仍有部分网站尚未完成漏洞修复，造成的损失仍会继续扩大。目前各大安全网站都已经推出了在线检测系统，能够在线检查出应用系统使 用的OpenSSL版本是否存在“心脏出血”漏洞，但这些在线漏洞检测网页仅适用于外网公开服务的应用系统的检测。 安恒信息的资深安全专家吴卓群表示：由于“心脏出血”漏洞的隐蔽性和广泛性，对企业内部庞杂的的应用系统而言，还可能存在持续发酵的隐忧。企业的内网核心 数据和敏感信息庞杂处于内外网隔离状态，无法使用互联网在线漏洞检测网页工具对这些内网中的应用系统进行检测，这很可能使得OpenSSL“心脏出血”漏 洞在庞杂的内网应用系统中不能被完全检查出来而留有后患。因此，一个封闭的内网批量扫描和检测工具对企业内网应用系统进行检测是十分必要的。

目前安恒信息提供了多种方式协助广大用户在各种网络环境下及时发现OpenSSL“心脏出血”漏洞，同时保证企业内网的安全性：

一、安恒信息风暴中心www.websaas.cn提供免费在线漏洞检测，普通用户可以直接输入需要检测的目标网站网址进行漏洞检测。

二、使用安恒信息明鉴®WEB应用弱点扫描器（WebScan 6.0）的用户可以在线更新策略后输入单个或多个目标网站进行漏洞检测。

三、需要对内网中数量庞杂的应用系统进行自行批量快速检测的用户可以通过安恒信息官网www.dbappsecurity.com.cn联系我们的客服人员免费索取OpenSSL“心脏出血”漏洞批量检测工具对内网中的应用系统进行批量检测。

用户如果检测出应用系统存在OpenSSL“心脏出血”漏洞，安恒信息建议您：

一、尽快将OpenSSL升级至1.0。OpenSSL Project已经为此发布了一个安全公告（secadv_20140407）以及相应补丁:secadv_20140407：TLS heartbeat read overrun (CVE-2014-0160) 链接：https://www.openssl.org/news/secadv_20140407.txt

如无法及时升级，可参考OpenSSL官方建议重新编译，加上-DOPENSSL_NO_HEARTBEATS选项禁止“心脏跳动”部分的功能；

二、机构和企业用户在未及时升级前，建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护（例如：安恒明御®WEB应用防火墙）；

三、个人用户应及时更改个人重要的账号密码，并且不要在网上多个应用服务使用同一个账号密码。对于重要应用或服务（如网银、社交网站等）个人用户应尽量开通手机验证或动态密码等多重安全保障措施。