響應工作不到位 Heartbleed漏洞仍存在
在備受關注的Heartbleed漏洞被曝光的一個多月之后,調查發現這個嚴重的OpenSSL漏洞仍然存在于數十萬臺服務器以及一些SSL端口中,這主要是因為整個行業的響應工作不到位。
這個Heartbleed漏洞早在2011年12月就被植入了OpenSSL代碼,直到2014年4月初才被發現,該漏洞是因為沒有對廣泛使用的OpenSSL加密庫中的TLS heartbeat extension處理進行漏洞檢查而造成的。
因為Heartbleed漏洞,存儲在數以百萬計的服務器和客戶端的內存中的敏感數據都可能被泄露。并且,雖然沒有證據表明該漏洞在曝光前被成功利用,或者說,在大多數情況下該漏洞值得攻擊者進行利用,但在過去一個月中,Heartbleed已經被用于真正的攻擊和模擬攻擊中。
然而,盡管信息安全行業努力宣傳Heartbleed的危害性,該漏洞仍然廣泛存在。上周Errata Security公司首席執行官Robert Graham在博客文章中稱,他掃描了互聯網的端口443,發現超過30萬臺系統仍然容易受到Heartbleed的影響,雖然這比他一個月前估計的60萬臺系統減少了一半,但這仍然是一個龐大的數據。Graham指出他并沒有涵蓋其他已知SSL端口(例如SMTP),另外,這個月他發現支持SSL的系統減少了約600萬臺。
“這些數字有些奇怪,上個月,我發現2800萬臺系統支持SSL,但這個月我只看到2200萬臺系統,”Graham表示,“我懷疑,這次人們檢測到了我的Heartbleed‘攻擊’,并在我的掃描完成之前屏蔽了我。或者,另外一個原因可能是,我的ISP(互聯網服務供應商)可能出現了流量擁塞的情況,從而導致這個數字減少。”
令人震驚的是,雖然企業和用戶都在積極采取措施來緩解Heartbleed,但這個過程中卻充斥著各種基本錯誤。上周,分析公司NetCraft公布了一份調查結果顯示,只有14%受該漏洞影響的網站執行了完整的三個步驟來緩解這個問題:更換其SSL證書、撤銷舊證書以及使用不同的私鑰簽發新證書。
Netcraft發現,57%的受影響網站沒有采取任何行動來響應Heartbleed。另外21%的網站使用新私鑰重新簽發了證書,但沒有撤銷舊證書。最后的5%使用舊私鑰簽發新證書,這是一個嚴重的錯誤,Netcraft發現某些加拿大政府網站(包括魁北克省汽車保險局)就犯了這個錯誤,即使在他們受到Heartbleed相關攻擊之后。
“其網站之一secure.saaq.gouv.qc.ca簽發了新的證書來響應Heartbleed漏洞,以前的漏洞在4月29日被撤銷,”Netcraft表示,“CRL撤銷狀態列出的原因是‘keyCompromise(密鑰泄露)’,但證書頒發機構仍然允許使用相同的私鑰來簽發新證書。這意味著持有被泄露證書的人仍然模擬新證書。”
Heartbleed漏洞的影響范圍不僅限于Web服務器。工業控制系統計算機應急響應小組(ICS-CERT)上周發布了一份公告,警告Heartbleed漏洞存在于Digi International制造的五款產品中,Digi International是機器對機器產品和服務供應商,其產品和服務廣泛用于很多SCADA和ICS環境。
加拿大手機巨頭BlackBerry也被迫更新其多款產品,包括其用于Android和iOS的Blackberry Messenger應用、BlackBerry Enterprise Service 10和BlackBerry Link,與蘋果、甲骨文、西門子等供應商一樣,該公司已經發布了Heartbleed相關的安全補丁。
與普通用戶相比,企業和政府機構的響應可以說是快捷和高效的。根據身份盜竊服務供應商LifeLock公司對2000名美國成年人的網上調查顯示,在聽說過Heartbleed的受訪者中,近一半的人還沒有更改其密碼。當被問到為什么時,44%的受訪者表示,他們根本不關心這個漏洞帶來的安全隱患,另外12%認為更改密碼是“大工程”。
雖然很多最大科技公司最近承諾注資數百萬來幫助保護OpenSSL以及其他重要開源項目抵御下一個Heartbleed,但目前的這個漏洞顯然還沒有得到控制。本周在卡耐基梅隆軟件工程研究所CERT的問答環節中,工作人員Jason McCormick建議受到該漏洞影響的企業升級到最新的OpenSSL版本,并進行徹底的風險評估以發現該問題的嚴重程度。
“最大的問題是,接下來該怎么做。對于這個問題,并沒有放之四海而皆準的解決方案,企業將需要根據自己的風險承受能力和成本來做出決定,”McCormick表示,“所有企業都應該盡快對易受到Heartbleed影響的聯網系統重新發布證書。私鑰材料(可用于解密捕捉數據或模擬網站)的潛在泄露讓這個工作變得尤為重要。”
