心脏滴血漏洞:OpenSSL中的一个漏洞如何导致安全危机

共 1957字,需浏览 4分钟

 ·

2022-10-17 16:50

Heartbleed是什么?

Heartbleed(“心脏滴血”)是OpenSSL在2014年4月曝光的一个漏洞;它出现在数千个网络服务器上,包括那些运行像雅虎这样的主要网站的服务器。

OpenSSL是实现传输层安全(Transport Layer Security, TLS)和安全套接字层(Secure Sockets Layer, SSL)协议的开放源代码库。该漏洞意味着恶意用户可以很容易地欺骗易受攻击的web服务器发送敏感信息,包括用户名和密码。

TLS/SSL标准对现代网络加密至关重要,虽然漏洞是在OpenSSL的实现中,而不是标准本身,但OpenSSL被广泛使用。当漏洞被公开时,它影响了所有SSL服务器中的17%并它引发了一场安全危机。

为什么 Heartbleed 被称为 Heartbleed?

Heartbleed的名称来自heartbeat,它是TLS/SSL协议的一个重要组件的名称。心跳是两台电脑相互通信时,即使用户此刻没有下载或上传任何东西,也能让对方知道它们仍然连接着。偶尔其中一台计算机会向另一台发送一条被加密的数据,称为心跳请求。第二台计算机将返回完全相同的加密数据,证明连接仍然存在。

Heartbleed漏洞之所以得名,是因为攻击者可以使用心跳请求从目标服务器提取信息,也就是说,受害者通过心跳请求获取敏感数据。

心脏滴血如何工作?

Heartbleed利用了一个重要的事实:心跳请求包含关于其自身长度的信息,但是OpenSSL库的易受攻击版本不会进行检查以确保信息的准确性,攻击者可以利用这一点欺骗目标服务器,使其允许攻击者访问其内存中应该保持私有的部分。

为什么 Heartbleed 很危险?

“心脏滴血”是危险的,因为它让攻击者看到内存缓冲区的内容,其中可能包括敏感信息。诚然,如果您是攻击者,您无法提前知道刚刚从服务器获取的20 KB内存中可能隐藏着什么,但是存在多种可能性。如果足够幸运可以得到SSL私钥,这将允许解密到服务器的安全通信,尽管几率很小,但不排除会被黑客获取。更常见的情况是,可以取回提交给服务器上运行的应用程序和服务的用户名和密码,这样你就可以登录到这些应用程序并获得用户帐户。

Heartbleed是如何被发现的?

Heartbleed 实际上是由两个不同的小组以非常不同的方式独立工作发现的:一次是在审查 OpenSSL 的开源代码库的过程中,一次是在对运行 OpenSSL 的服务器的一系列模拟攻击期间。这两个独立的发现发生在几周之内,但该漏洞已经潜伏了2年未被发现。

心脏滴血 CVE

心脏滴血漏洞的CVE编号是 CVE-2014-0160,CVSS3.1打分7.5,属于严重漏洞。

Heartbleed 漏洞利用:Heartbleed 影响了哪些人?

“心脏滴血”(Heartbleed)漏洞在现实世界中已经被利用过,但目前尚不清楚在该漏洞被广泛公布之前是否有被利用过。早在2013年,安全公司就发现了一些未遂攻击在探测该漏洞。

2014年4月,Codenomicon公开了这个漏洞,之后出现了一系列活动和一定程度的混乱,各公司争相更新自己的系统;例如,雅虎(Yahoo)和OKCupid的用户曾被简短地建议在OpenSSL安装补丁之前不要登录自己的账户,并在重新获得访问权限后更改密码。

心血成本

“心脏滴血”的代价超过了这些成功攻击所造成的损害;《安全杂志》估计,数千个组织需要撤销和更换他们的SSL证书的成本可能高达5亿美元。再加上检查和更新系统所需的工作时间,与这个漏洞相关的支出会大幅飙升。

Heartbleed 仍然是安全隐患吗?

Heartbleed 是在 8 年多前被发现并修补的,然而许多服务器仍然存在 Heartbleed 漏洞。事实上,据SANS Internet Storm Center 的研究人员称,到 2020 年 11 月,在线的服务器超过20万。虽然从那以后这个数字可能有所下降,但几乎可以肯定仍有许多易受攻击的服务器等待被黑客攻击。

超过六成的安全漏洞与代码有关,而静态代码分析技术可以减少30-70%的安全漏洞。目前,在OWASP TOP 10 安全漏洞中,60-70%的安全漏洞类型可以通过源代码静态分析技术检测出来。目前,随着恶意软件不断升级,网络攻击手段不断改进,仅通过传统防护手段如防火墙、杀毒软件等安全防御不足以全面抵抗网络攻击和恶意软件入侵。因此亟需加强软件自身安全,减少软件系统安全漏洞。通过在软件开发过程中不断检测代码缺陷并修复,确保软件安全是提高网络安全性的重要手段。

来源:

https://www.csoonline.com/

浏览 69
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报