專家對Heartbleed漏洞帶來的風險進行了測試,測試結果發現攻擊者可以獲取私有服務器證書密鑰,這證明了這個開源漏洞所造成的威脅。
云計算網站安全公司CloudFlare建立了一個有效的網站,并邀請攻擊者執行攻擊來獲取密鑰。該公司表示,兩名攻擊者花了9個小時來發現私鑰。這兩名攻擊者發送了數百萬惡意請求來利用Heartbleed漏洞,以獲取密鑰。
系統集成商Accuvant公司首席安全顧問Rob Dixon表示,如果攻擊者持有私有數字證書密鑰,他們就可以欺詐該網站,這是支持各種攻擊的有用技術。
Dixon表示:“我們已經看到可能敏感的內存轉儲和信息,但我的理解是,這可能是完全隨機的,或者只是內存堆棧的最后幾個字節。”
不過,Dixon和其他安全專家認為Heartbleed是一個威脅的漏洞,系統管理員需要理解并解決。這個OpenSSL漏洞已經得到了廣泛的關注,因為該漏洞給攻擊者提供了高達64K的web服務器的工作內存。這種隨機內存塊中包含各種數據,并可能包含密碼,安全專家呼吁互聯網用戶更改其用于流行網站和云計算服務的密碼。
有漏洞的OpenSSL部署也被用于很多網絡安全產品中,包括安全設備、路由器和交換機。這些產品的制造商正在發布更新來修復這個安全漏洞,但這個漏洞通常位于沒有面向互聯網的管理控制臺中。設備也在內存中攜帶和保存著很少的信息。
Dixon表示:“從我執行滲透測試和漏洞評估的經驗來看,我們經常可以看到在這種底層基礎設施中,很多第三方補丁存在滯后性,而在這種情況下,這種滯后性可以幫助一些企業。”
安全專家更加擔心私有服務器證書密鑰,要求系統管理員部署該OpenSSL補丁,并撤銷和重新發布服務器證書。這兩個流行的開源web服務器(Nginx和Apache)都支持幾十萬網站和服務。
CloudFlare表示,很多公司已經收到了關于該漏洞的預警信息,讓他們在公開發布前有足夠的時間修復其漏洞。Akamai Technologies使用了自定義內存分配機制來減少私鑰被曝光的可能性,但該公司表示,他們仍然在替換其客戶SSL密鑰作為預防措施。Akamai公司首席技術官Andy Ellis表示,該公司的自定義更新并不是百分百的萬無一失。
“雖然我們相信,攻擊的可能性微乎其微,并且,被暴露的證書數量也很小,我們不能完全排除這種可能性,”Ellis表示,“因此,我們會繼續替換客戶SSL密鑰,盡可能降低風險。”
與此同時,美國國家安全局已經完全否認他們知道OpenSSL漏洞以及使用它來支持其監測活動。上周五,彭博社報道,兩個不愿意透露姓名的人表示,NSA在過去兩年中利用了這個漏洞。
根據美國國家情報總監辦公室上周發表的聲明表示:“關于NSA或其他任何政府部門在2014年知道所謂的Heartbleed漏洞的報道都是不正確的。在這個OpenSSL的漏洞公開之前,聯邦政府并不知道這個漏洞的存在。”