心臟滴血漏洞:OpenSSL中的一個漏洞如何導致安全危機
Heartbleed是什麼?
Heartbleed(“心臟滴血”)是OpenSSL在2014年4月曝光的一個漏洞;它出現在數千個網路伺服器上,包括那些執行像雅虎這樣的主要網站的伺服器。
OpenSSL是實現傳輸層安全(Transport Layer Security, TLS)和安全套接字層(Secure Sockets Layer, SSL)協議的開放原始碼庫。該漏洞意味著惡意使用者可以很容易地欺騙易受攻擊的web伺服器傳送敏感資訊,包括使用者名稱和密碼。
TLS/SSL標準對現代網路加密至關重要,雖然漏洞是在OpenSSL的實現中,而不是標準本身,但OpenSSL被廣泛使用。當漏洞被公開時,它影響了所有SSL伺服器中的17%並它引發了一場安全危機。
為什麼 Heartbleed 被稱為 Heartbleed?
Heartbleed的名稱來自heartbeat,它是TLS/SSL協議的一個重要元件的名稱。心跳是兩臺電腦相互通訊時,即使使用者此刻沒有下載或上傳任何東西,也能讓對方知道它們仍然連線著。偶爾其中一臺計算機會向另一臺傳送一條被加密的資料,稱為心跳請求。第二臺計算機將返回完全相同的加密資料,證明連線仍然存在。
Heartbleed漏洞之所以得名,是因為攻擊者可以使用心跳請求從目標伺服器提取資訊,也就是說,受害者透過心跳請求獲取敏感資料。
心臟滴血如何工作?
Heartbleed利用了一個重要的事實:心跳請求包含關於其自身長度的資訊,但是OpenSSL庫的易受攻擊版本不會進行檢查以確保資訊的準確性,攻擊者可以利用這一點欺騙目標伺服器,使其允許攻擊者訪問其記憶體中應該保持私有的部分。
為什麼 Heartbleed 很危險?
“心臟滴血”是危險的,因為它讓攻擊者看到記憶體緩衝區的內容,其中可能包括敏感資訊。誠然,如果您是攻擊者,您無法提前知道剛剛從伺服器獲取的20 KB記憶體中可能隱藏著什麼,但是存在多種可能性。如果足夠幸運可以得到SSL私鑰,這將允許解密到伺服器的安全通訊,儘管機率很小,但不排除會被駭客獲取。更常見的情況是,可以取回提交給伺服器上執行的應用程式和服務的使用者名稱和密碼,這樣你就可以登入到這些應用程式並獲得使用者帳戶。
Heartbleed是如何被發現的?
Heartbleed 實際上是由兩個不同的小組以非常不同的方式獨立工作發現的:一次是在審查 OpenSSL 的開原始碼庫的過程中,一次是在對執行 OpenSSL 的伺服器的一系列模擬攻擊期間。這兩個獨立的發現發生在幾周之內,但該漏洞已經潛伏了2年未被發現。
心臟滴血 CVE
心臟滴血漏洞的CVE編號是CVE-2014-0160,CVSS3.1打分7.5,屬於嚴重漏洞。
Heartbleed 漏洞利用:Heartbleed 影響了哪些人?
“心臟滴血”(Heartbleed)漏洞在現實世界中已經被利用過,但目前尚不清楚在該漏洞被廣泛公佈之前是否有被利用過。早在2013年,安全公司就發現了一些未遂攻擊在探測該漏洞。
2014年4月,Codenomicon公開了這個漏洞,之後出現了一系列活動和一定程度的混亂,各公司爭相更新自己的系統;例如,雅虎(Yahoo)和OKCupid的使用者曾被簡短地建議在OpenSSL安裝補丁之前不要登入自己的賬戶,並在重新獲得訪問許可權後更改密碼。
心血成本
“心臟滴血”的代價超過了這些成功攻擊所造成的損害;《安全雜誌》估計,數千個組織需要撤銷和更換他們的SSL證書的成本可能高達5億美元。再加上檢查和更新系統所需的工作時間,與這個漏洞相關的支出會大幅飆升。
Heartbleed 仍然是個問題嗎?
Heartbleed 是在 8 年多前被發現並修補的,然而許多伺服器仍然存在 Heartbleed 漏洞。事實上,據SANS Internet Storm Center 的研究人員稱,到 2020 年 11 月,線上的伺服器超過20萬。雖然從那以後這個數字可能有所下降,但幾乎可以肯定仍有許多易受攻擊的伺服器等待被駭客攻擊。
超過六成的安全漏洞與程式碼有關,而 靜態程式碼分析技術可以減少30-70%的安全漏洞。目前,在OWASP TOP 10 安全漏洞中,60-70%的安全漏洞型別可以透過原始碼靜態分析技術檢測出來。目前,隨著惡意軟體不斷升級,網路攻擊手段不斷改進,僅透過傳統防護手段如防火牆、防毒軟體等安全防禦不足以全面抵抗網路攻擊和惡意軟體入侵。因此亟需加強軟體自身安全,減少軟體系統安全漏洞。透過在軟體開發過程中不斷檢測修復程式碼缺陷,確保軟體安全是提高網路安全性的重要手段。
來源:
https://www.csoonline.com/article/3223203/the-heartbleed-bug-how-a-flaw-in-openssl-caused-a-security-crisis.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2913955/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 關於OpenSSL“心臟出血”漏洞的分析
- 網路安全中檔案上傳漏洞是如何導致的?
- 使用已破解或危險的加密演算法導致的漏洞加密演算法
- 高通DSP晶片被曝6個漏洞事件引發的安全危機猜想晶片事件
- 程式碼安全測試第十四期:使用已破解或危險的加密演算法導致的漏洞加密演算法
- PHP弱型別在實戰中導致的漏洞總結PHP型別
- 記一次排序導致的記憶體危機排序記憶體
- 盤點2019年之漏洞危機:明碼標價的漏洞背後,是不治恐將深的安全沉痾
- 安全漏洞導致Suprema Biostar 2百萬人指紋資料曝光REMiOS
- 大眾、福特暢銷車深陷漏洞危機,你的愛車真的安全嗎?
- OpenSSL-CVE-2015-1793漏洞分析
- common-collections中Java反序列化漏洞導致的RCE原理分析Java
- Exim漏洞導致數百萬伺服器被接管伺服器
- 一個漏洞獎勵百萬!騰訊SRC全面加碼安全漏洞獎勵
- 安全漏洞整改系列(一)
- CVE-2024-43636 是一個針對 Microsoft Windows 作業系統中 DWM 核心庫 (Desktop Window Manager) 的安全漏洞。這個漏洞可以導致 遠端程式碼執行(RCE),對系統安全構成嚴重威脅。ROSWindows作業系統
- [漏洞復現] [Vulhub靶機] OpenSSL Heartbleed Vulnerability (CVE-2014-0160)
- 升級openssl - OpenSSL 拒絕服務漏洞 (CVE-2020-1971)
- 在Linux中,如何進行安全漏洞掃描?Linux
- 安全漏洞如何分級?分析對比業界常用的三個漏洞等級劃分模型模型
- 一個PC上的“WormHole”漏洞Worm
- 使用不安全的隨機值漏洞隨機
- Python中的10個常見安全漏洞及修復方法Python
- 你的手機竊聽準確率可達 90%,這個安全漏洞如何堵?
- Travis CI 漏洞致數千個開源專案機密洩露
- Linux sudo 漏洞可能導致未經授權的特權訪問Linux
- CWE公佈最新25個危險軟體漏洞列表 記憶體損壞漏洞居首位記憶體
- CPU又曝極危安全漏洞!Intel二四六代酷睿中招Intel
- Android 5月安全更新來了!修復42個漏洞:包括4個關鍵漏洞Android
- CVE安全漏洞的理解
- 網站的安全漏洞網站
- 使用蜻蜓安全挖掘漏洞實踐(一)
- 眾至科技漏洞通告 | 微軟11月釋出多個安全漏洞微軟
- Citrix NetScaler多重漏洞導致DoS攻擊和資料洩露
- Windows 10最新零日漏洞:可導致任意檔案被覆寫Windows
- 一場WinRAR全球漏洞危機引發的思考:壓縮軟體該何去何從?
- 機器學習專案---預測心臟病(一)機器學習
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞