Heartbleed被夸大?专家测试该OpenSSL漏洞的严重程度

2014-04-16 |  作者:邹铮编译 |  来源:独家 |  查看原文

摘要专家对Heartbleed漏洞带来的风险进行了测试,测试结果发现攻击者可以获取私有服务器证书密钥,这证明了这个开源漏洞所造成的威胁。

【CNW独家译稿】专家对Heartbleed漏洞带来的风险进行了测试,测试结果发现攻击者可以获取私有服务器证书密钥,这证明了这个开源漏洞所造成的威胁。

云计算网站安全公司CloudFlare建立了一个有效的网站,并邀请攻击者执行攻击来获取密钥。该公司表示,两名攻击者花了9个小时来发现私钥。这两名攻击者发送了数百万恶意请求来利用Heartbleed漏洞,以获取密钥。

系统集成商Accuvant公司首席安全顾问Rob Dixon表示,如果攻击者持有私有数字证书密钥,他们就可以欺诈该网站,这是支持各种攻击的有用技术。

Dixon表示:“我们已经看到可能敏感的内存转储和信息,但我的理解是,这可能是完全随机的,或者只是内存堆栈的最后几个字节。”

不过,Dixon和其他安全专家认为Heartbleed是一个威胁的漏洞,系统管理员需要理解并解决。这个OpenSSL漏洞已经得到了广泛的关注,因为该漏洞给攻击者提供了高达64K的web服务器的工作内存。这种随机内存块中包含各种数据,并可能包含密码,安全专家呼吁互联网用户更改其用于流行网站和云计算服务的密码。

有漏洞的OpenSSL部署也被用于很多网络安全产品中,包括安全设备、路由器和交换机。这些产品的制造商正在发布更新来修复这个安全漏洞,但这个漏洞通常位于没有面向互联网的管理控制台中。设备也在内存中携带和保存着很少的信息。

Dixon表示:“从我执行渗透测试和漏洞评估的经验来看,我们经常可以看到在这种底层基础设施中,很多第三方补丁存在滞后性,而在这种情况下,这种滞后性可以帮助一些企业。”

安全专家更加担心私有服务器证书密钥,要求系统管理员部署该OpenSSL补丁,并撤销和重新发布服务器证书。这两个流行的开源web服务器(Nginx和Apache)都支持几十万网站和服务。

CloudFlare表示,很多公司已经收到了关于该漏洞的预警信息,让他们在公开发布前有足够的时间修复其漏洞。Akamai Technologies使用了自定义内存分配机制来减少私钥被曝光的可能性,但该公司表示,他们仍然在替换其客户SSL密钥作为预防措施。Akamai公司首席技术官Andy Ellis表示,该公司的自定义更新并不是百分百的万无一失。

“虽然我们相信,攻击的可能性微乎其微(+微信networkworldweixin),并且,被暴露的证书数量也很小,我们不能完全排除这种可能性,”Ellis表示,“因此,我们会继续替换客户SSL密钥,尽可能降低风险。”

与此同时,美国国家安全局已经完全否认他们知道OpenSSL漏洞以及使用它来支持其监测活动。上周五,彭博社报道,两个不愿意透露姓名的人表示,NSA在过去两年中利用了这个漏洞。

根据美国国家情报总监办公室上周发表的声明表示:“关于NSA或其他任何政府部门在2014年知道所谓的Heartbleed漏洞的报道都是不正确的。在这个OpenSSL的漏洞公开之前,联邦政府并不知道这个漏洞的存在。”

相关文章