心臟滴血漏洞:OpenSSL中的一個漏洞如何導致安全危機

zktq2021發表於2022-09-08

Heartbleed是什麼?

Heartbleed(“心臟滴血”)是OpenSSL在2014年4月曝光的一個漏洞;它出現在數千個網路伺服器上,包括那些執行像雅虎這樣的主要網站的伺服器。

OpenSSL是實現傳輸層安全(Transport Layer Security, TLS)和安全套接字層(Secure Sockets Layer, SSL)協議的開放原始碼庫。該漏洞意味著惡意使用者可以很容易地欺騙易受攻擊的web伺服器傳送敏感資訊,包括使用者名稱和密碼。

TLS/SSL標準對現代網路加密至關重要,雖然漏洞是在OpenSSL的實現中,而不是標準本身,但OpenSSL被廣泛使用。當漏洞被公開時,它影響了所有SSL伺服器中的17%並它引發了一場安全危機。

為什麼 Heartbleed 被稱為 Heartbleed?

Heartbleed的名稱來自heartbeat,它是TLS/SSL協議的一個重要元件的名稱。心跳是兩臺電腦相互通訊時,即使使用者此刻沒有下載或上傳任何東西,也能讓對方知道它們仍然連線著。偶爾其中一臺計算機會向另一臺傳送一條被加密的資料,稱為心跳請求。第二臺計算機將返回完全相同的加密資料,證明連線仍然存在。

Heartbleed漏洞之所以得名,是因為攻擊者可以使用心跳請求從目標伺服器提取資訊,也就是說,受害者透過心跳請求獲取敏感資料。

心臟滴血如何工作?

Heartbleed利用了一個重要的事實:心跳請求包含關於其自身長度的資訊,但是OpenSSL庫的易受攻擊版本不會進行檢查以確保資訊的準確性,攻擊者可以利用這一點欺騙目標伺服器,使其允許攻擊者訪問其記憶體中應該保持私有的部分。

為什麼 Heartbleed 很危險?

“心臟滴血”是危險的,因為它讓攻擊者看到記憶體緩衝區的內容,其中可能包括敏感資訊。誠然,如果您是攻擊者,您無法提前知道剛剛從伺服器獲取的20 KB記憶體中可能隱藏著什麼,但是存在多種可能性。如果足夠幸運可以得到SSL私鑰,這將允許解密到伺服器的安全通訊,儘管機率很小,但不排除會被駭客獲取。更常見的情況是,可以取回提交給伺服器上執行的應用程式和服務的使用者名稱和密碼,這樣你就可以登入到這些應用程式並獲得使用者帳戶。

Heartbleed是如何被發現的?

Heartbleed 實際上是由兩個不同的小組以非常不同的方式獨立工作發現的:一次是在審查 OpenSSL 的開原始碼庫的過程中,一次是在對執行 OpenSSL 的伺服器的一系列模擬攻擊期間。這兩個獨立的發現發生在幾周之內,但該漏洞已經潛伏了2年未被發現。

心臟滴血 CVE

心臟滴血漏洞的CVE編號是CVE-2014-0160,CVSS3.1打分7.5,屬於嚴重漏洞。

Heartbleed 漏洞利用:Heartbleed 影響了哪些人?

“心臟滴血”(Heartbleed)漏洞在現實世界中已經被利用過,但目前尚不清楚在該漏洞被廣泛公佈之前是否有被利用過。早在2013年,安全公司就發現了一些未遂攻擊在探測該漏洞。

2014年4月,Codenomicon公開了這個漏洞,之後出現了一系列活動和一定程度的混亂,各公司爭相更新自己的系統;例如,雅虎(Yahoo)和OKCupid的使用者曾被簡短地建議在OpenSSL安裝補丁之前不要登入自己的賬戶,並在重新獲得訪問許可權後更改密碼。

心血成本

“心臟滴血”的代價超過了這些成功攻擊所造成的損害;《安全雜誌》估計,數千個組織需要撤銷和更換他們的SSL證書的成本可能高達5億美元。再加上檢查和更新系統所需的工作時間,與這個漏洞相關的支出會大幅飆升。

Heartbleed 仍然是個問題嗎?

Heartbleed 是在 8 年多前被發現並修補的,然而許多伺服器仍然存在 Heartbleed 漏洞。事實上,據SANS Internet Storm Center 的研究人員稱,到 2020 年 11 月,線上的伺服器超過20萬。雖然從那以後這個數字可能有所下降,但幾乎可以肯定仍有許多易受攻擊的伺服器等待被駭客攻擊。

超過六成的安全漏洞與程式碼有關,而 靜態程式碼分析技術可以減少30-70%的安全漏洞。目前,在OWASP TOP 10 安全漏洞中,60-70%的安全漏洞型別可以透過原始碼靜態分析技術檢測出來。目前,隨著惡意軟體不斷升級,網路攻擊手段不斷改進,僅透過傳統防護手段如防火牆、防毒軟體等安全防禦不足以全面抵抗網路攻擊和惡意軟體入侵。因此亟需加強軟體自身安全,減少軟體系統安全漏洞。透過在軟體開發過程中不斷檢測修復程式碼缺陷,確保軟體安全是提高網路安全性的重要手段。


來源:

https://www.csoonline.com/article/3223203/the-heartbleed-bug-how-a-flaw-in-openssl-caused-a-security-crisis.html


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2913955/,如需轉載,請註明出處,否則將追究法律責任。

相關文章