心脏滴血漏洞：OpenSSL中的一个漏洞如何导致安全危机

Heartbleed是什么?

Heartbleed(“心脏滴血”)是OpenSSL在2014年4月曝光的一个漏洞;它出现在数千个网络服务器上，包括那些运行像雅虎这样的主要网站的服务器。

OpenSSL是实现传输层安全(Transport Layer Security, TLS)和安全套接字层(Secure Sockets Layer, SSL)协议的开放源代码库。该漏洞意味着恶意用户可以很容易地欺骗易受攻击的web服务器发送敏感信息，包括用户名和密码。

TLS/SSL标准对现代网络加密至关重要，虽然漏洞是在OpenSSL的实现中，而不是标准本身，但OpenSSL被广泛使用。当漏洞被公开时，它影响了所有SSL服务器中的17%并它引发了一场安全危机。

为什么 Heartbleed 被称为 Heartbleed?

Heartbleed的名称来自heartbeat，它是TLS/SSL协议的一个重要组件的名称。心跳是两台电脑相互通信时，即使用户此刻没有下载或上传任何东西，也能让对方知道它们仍然连接着。偶尔其中一台计算机会向另一台发送一条被加密的数据，称为心跳请求。第二台计算机将返回完全相同的加密数据，证明连接仍然存在。

Heartbleed漏洞之所以得名，是因为攻击者可以使用心跳请求从目标服务器提取信息，也就是说，受害者通过心跳请求获取敏感数据。

心脏滴血如何工作?

Heartbleed利用了一个重要的事实:心跳请求包含关于其自身长度的信息，但是OpenSSL库的易受攻击版本不会进行检查以确保信息的准确性，攻击者可以利用这一点欺骗目标服务器，使其允许攻击者访问其内存中应该保持私有的部分。

为什么 Heartbleed 很危险?

“心脏滴血”是危险的，因为它让攻击者看到内存缓冲区的内容，其中可能包括敏感信息。诚然，如果您是攻击者，您无法提前知道刚刚从服务器获取的20 KB内存中可能隐藏着什么，但是存在多种可能性。如果足够幸运可以得到SSL私钥，这将允许解密到服务器的安全通信，尽管几率很小，但不排除会被黑客获取。更常见的情况是，可以取回提交给服务器上运行的应用程序和服务的用户名和密码，这样你就可以登录到这些应用程序并获得用户帐户。

Heartbleed是如何被发现的?

Heartbleed 实际上是由两个不同的小组以非常不同的方式独立工作发现的：一次是在审查 OpenSSL 的开源代码库的过程中，一次是在对运行 OpenSSL 的服务器的一系列模拟攻击期间。这两个独立的发现发生在几周之内，但该漏洞已经潜伏了2年未被发现。

心脏滴血 CVE

心脏滴血漏洞的CVE编号是 CVE-2014-0160，CVSS3.1打分7.5，属于严重漏洞。

Heartbleed 漏洞利用：Heartbleed 影响了哪些人?

“心脏滴血”(Heartbleed)漏洞在现实世界中已经被利用过，但目前尚不清楚在该漏洞被广泛公布之前是否有被利用过。早在2013年，安全公司就发现了一些未遂攻击在探测该漏洞。

2014年4月，Codenomicon公开了这个漏洞，之后出现了一系列活动和一定程度的混乱，各公司争相更新自己的系统;例如，雅虎(Yahoo)和OKCupid的用户曾被简短地建议在OpenSSL安装补丁之前不要登录自己的账户，并在重新获得访问权限后更改密码。

心血成本

“心脏滴血”的代价超过了这些成功攻击所造成的损害;《安全杂志》估计，数千个组织需要撤销和更换他们的SSL证书的成本可能高达5亿美元。再加上检查和更新系统所需的工作时间，与这个漏洞相关的支出会大幅飙升。

Heartbleed 仍然是安全隐患吗?

Heartbleed 是在 8 年多前被发现并修补的，然而许多服务器仍然存在 Heartbleed 漏洞。事实上，据SANS Internet Storm Center 的研究人员称，到 2020 年 11 月，在线的服务器超过20万。虽然从那以后这个数字可能有所下降，但几乎可以肯定仍有许多易受攻击的服务器等待被黑客攻击。

超过六成的安全漏洞与代码有关，而静态代码分析技术可以减少30-70%的安全漏洞。目前，在OWASP TOP 10 安全漏洞中，60-70%的安全漏洞类型可以通过源代码静态分析技术检测出来。目前，随着恶意软件不断升级，网络攻击手段不断改进，仅通过传统防护手段如防火墙、杀毒软件等安全防御不足以全面抵抗网络攻击和恶意软件入侵。因此亟需加强软件自身安全，减少软件系统安全漏洞。通过在软件开发过程中不断检测代码缺陷并修复，确保软件安全是提高网络安全性的重要手段。

来源：

https://www.csoonline.com/