当前位置: 首页 > 新闻 > 业界动态
致命漏洞引发全球互联网“心脏出血”
时间:2014-07-17 08:41:31
文章发布:李阳
原创作者:未知
来源:工业和信息化部

2014年4月7日,OpenSSL发布安全公告,曝光了在OpenSSL 1.0.1-1.0.1f版本中存在的严重漏洞(CVE-2014-0160),该漏洞被形象地称为“HeartBleed”(心脏出血)。由于OpenSSL协议应用广泛,全球超六成网站可能受影响,此外电子邮件、即时通信和虚拟专网(VPN)也都可能遭受攻击。我国国内至少约有3万多网站受影响,包括大型电商网站、银行网银系统、第三方支付、淘宝、社交网站等,同时电子邮箱、即时通讯系统也未能幸免。

一、漏洞分析

1.协议概述

OpenSSL是一种开放源码的、为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,被广泛地用于各种网络应用程序中。

此次曝光的漏洞与OpenSSL的心跳包(heartbeat)模块有关。存在该漏洞的版本为OpenSSL 1.0.1-1.0.1f。心跳包是OpenSSL协议中的一个重要模块,用以在客户端和服务器间定时通知对方自己的状态,按照一定的时间间隔发送,类似于心跳,如果在指定时间段内未收到对方响应,则判断对方已经离线。

2.漏洞原理

网站服务器接收到客户端发送的心跳包后,将其加载至服务器内存中,并生成响应数据发送回客户端。服务器生成响应数据时,需要利用心跳包起始存储位置和负载数据长度两个参数读取内存数据,其中负载数据长度参数是由客户端发送的心跳包指定的。但存在该漏洞的服务器缺少对该参数正确性的判断,黑客可以自行构造大于真实数据长度的非法参数(最大可设置为64KB),导致服务器生成响应数据时,会取出后续内存空间中其他数据,并作为响应数据返回给黑客,从而造成内存信息泄露。

3.攻击手段

黑客可以通过构造特定的心跳包向存在此漏洞的网站发起攻击,每次读取服务器内存中的 64KB数据,并不断迭代获取内存中的信息,这些信息可能会含有程序源码、用户 HTTP原始请求、用户缓存甚至明文的用户名密码等。据研究人员称,利用该漏洞攻击某著名电商网站时,尝试读取200次内存信息后获得了40多个用户名、7个密码,并用这些密码,成功登录了该网站。

4.修复方法

漏洞的修复只需在服务器将心跳包数据加载至服务器内存时,增加对数据长度参数的正确性判断,丢弃长度参数为零或大于真实数据长度的心跳包。目前OpenSSL已完成对代码的修复,网站服务器需及时升级到OpenSSl 1.0.1g等安全版本。

二、主要影响

1.影响范围超六成网站

根据英国Netcraft公司2014年4月网站服务器调查,全球约有66%的互联网活跃网站受影响。这些网站大都采用了基于OpenSSL的Apache和nginx等开源网站服务器。此外,由于OpenSSL用于保护例如电子邮件服务器、聊天服务器、虚拟专网、网络应用和多种客户端软件,所以除网站受影响外,电子邮件、即时通信和虚拟专网(VPN)都遭受严重影响。我国国内至少约有3万多网站受影响,包括大型电商网站、银行网银系统、第三方支付、微信、淘宝、社交网站、门户网站等网站,此外电子邮箱、即时通讯系统也未能幸免。

2.大量敏感数据可能遭窃

目前,该漏洞的利用和验证脚本已经可以被广泛获取,几乎所有的攻击者都已经拥有了相关资源,同时这一漏洞已经遭到了极为广泛的探测和尝试。由于该漏洞允许互联网上任何人读取使用存在漏洞的网站服务器内存,用户修改密码、发送消息、登录等请求以及很多操作全部暴露出来,直接导致证书密钥、用户名、密码、即时通信、电子邮件、业务关键文档可能遭窃取。

3.重要信息系统或受影响

由于第三方组件、资产所有者、运营者和数据采集与监视控制系统(SCADA)软件开发者都有可能使用受影响版本的OpenSSL,与国计民生关系密切的重要信息系统可能遭受影响,包括工业控制系统或设备在内的连接互联网的信息系统和设备都可能遭受攻击。

三、各方回应

1.发布预警

美国US-CERT于4月7日(北京时间)发布名为“OpenSSL‘心脏出血’漏洞”(OpenSSL“Heartbleed”vulnerability)的预警信息。美国ICS-CERT于4月8日(北京时间)发布名为“关于OpenSSL漏洞的态势感知预警”(Situational Awareness Alert for OpenSSL Vulnerability)的预警信息。我国CNCERT于4月10日发布名为“关于OpenSSL存在高危漏洞可被利用发起大规模攻击的情况通报”的预警信息。安全公司奇虎360于4月9日针对“心脏出血”安全漏洞召开新闻发布会。

2.修复漏洞

目前,美国苹果公司、Facebook、雅虎和谷歌已经评估了该漏洞并给关键服务打上了补丁。我国阿里巴巴、腾讯、网易、京东等多个大型互联网服务商通过官微宣布,已经修复了该漏洞。中国金融认证中心(CFCA)称,由于网银系统均使用商业级的SSL加密设备,普通用户可以完全放心使用U盾。


(工业和信息化部电子科技情报研究所网络与信息安全研究部)


标签: 漏洞原理 修复漏洞
*版权申明:本站部分文章由艺源科技收集整理,不代表我们的观点。如果这篇转载侵犯您的版权,请及时联系我们删除!
为您推荐
最新文章