“心脏出血(Heartbleed)”OpenSSL漏洞震惊了整个安全市场,如今,它的影响已经超出理论上的危险程度:有两家企业报告称他们已经因为该漏洞而遭受攻击者攻击。
英国的一家育儿网站Mumsnet表示,他们最早听说Heartbleed漏洞是在4月10日,也就是该漏洞曝光后的第三天,他们立即对所有服务器进行了测试。一旦检测出易受攻击的情况,Mumsnet网站就立即采用OpenSSL的修补版本,但是就在4月11日,攻击者还是成功利用该漏洞访问了Mumsnet网站用户的账户数据。
上周末,Mumsnet网站决定强制其所有用户重新设置了登陆信息,尽管Mumsnet并不确认有人把利用Heartbleed漏洞用于恶意目的。
Mumsnet表示:“攻击者一旦利用了该漏洞,他就可以登陆你的账号,浏览你的历史记录、个人信息、注册信息等,尽管目前我们还没有证据证明有用户的账户信息被用于恶意目的,也不确定Mumsnet网站的哪些用户受到该漏洞的影响。而最糟糕的情况是,攻击者已经访问了Mumsnet网站的所有用户的账户数据。这也是我们要求所有用户重置密码的原因。”
另外,加拿大税务局(CRA)在一份声明中表示,有人利用Heartbleed漏洞,将大约900名纳税人的社会保险号码从系统中删除。其实,CRA在得知Heartbleed漏洞后就暂停了其网上税务申报服务,但还是为时已晚。
CRA在应用了Heartbleed漏洞补丁并测试其系统安全性以后,于上周日重新推出了在线服务,但是CRA表示,漏洞的修补工作还会继续。
CRA称:“我们目前正在分析其它的数据信息,有一些涉及到企业的数据可能也已经被删除了。尽管进行了严格的控制,我们还是成为众多受到OpenSSL漏洞影响的企业之一,不过幸亏我们有加拿大服务共享局和其他安全合作伙伴的支持,在系统恢复之前,其它数据没有被继续泄露。此外,到目前为止的分析数据显示,还没有其它CRA机构数据泄露事件发生。”
这些Heartbleed漏洞利用足以显示了攻击者收集敏感信息的能力,但是,这个漏洞还有一个致命的问题:攻击者可以利用该漏洞窃取SSL密钥。
CloudFlare和Akamai已经发现Heartbleed漏洞的复杂性
两家安全厂商已意识到Heartbleed漏洞问题的严重性,越来越多的安全专家也都表示,这是互联网有史以来最广泛的漏洞之一。
在上周的一篇博客中,总部位于旧金山的内容分发网络公司CloudFlare修补了其基于早期披露的OpenSSL版本,试图缓解Heartbleed漏洞容易导致密钥数据泄露的问题,尤其是Nginx服务器。
CloudFlare的Nick Sullivan表示:“通过在我们的软件堆栈上的严格测试,现在攻击者已经无法再利用Heartbleed漏洞来窃取服务器上的密钥数据。”
为了做这项测试,CloudFlare举行了一场挑战赛,在其Nginx服务器上设置了一个OpenSSL漏洞版本,让挑战者利用Heartbleed从服务器上窃取密钥。在挑战开始九小时以后,俄罗斯软件工程师Fedor Indutny完成了任务,但是需要发送超过250万个heartbeat请求。仅次于Indutny的是来自芬兰的信息安全顾问Ilkka Mattila,但也需要发送十万个请求。
Indutny随后在其博客中发布了他利用Heartbleed漏洞的提取脚本,并指出,该漏洞不会立即产生严重后果。尽管该漏洞想被利用需要很长时间,CloudFlare还是根据该挑战结果及时采取措施替换了管理用户的SSL密钥。
CloudFlare称:“根据该报告的结果,我们的建议是,每个用户都应该重发或撤销其密钥。”
另外,Akamai公司为了保护其客户免受Heartbleed漏洞威胁,于上周末撤销了之前发布的补丁。
意识到Heartbleed漏洞严重性后,Cambridge的厂商发布了一个内存分配工具,以防止SSL密钥的泄露。但是,在上周日晚上的一篇博客中,Akamai的首席安全官(CSO)Andy Ellis表示,安全研究人员Willem Pinckaers与Akamai联系并报告在其Heartbleed修复中有一个漏洞。
Ellis表示:“因此,我们已经开始处理所有用户的SSL密钥/认证,有一些认证可以很快处理完,但是有一些认证需要证书颁发机构额外的认证,可能耗时比较长。”
