今天下午看到乌云知识库一位高人翻译一篇国外漏洞分析文章,重点分析OpenSSL的heartbeat漏洞。原文链接:猛戳这里
简单说,攻击者对一台使用https登录的web服务器发送攻击数据包,在不需要任何身份认证或权限的情况下,就可以从服务器内存读取到最多64KB的数据。这些数据是随机出现的,可能是其他用户正常登录的cookie,也可能是用户名密码的明文,据说还有可能泄露私钥,但在我的测试过程中还没发现。
由于漏洞和SSL的心跳包有关,因此有网友为这个漏洞叫做“心跳出血漏洞”。漏洞编号:CVE-2014-0160
为确保Http登录的敏感信息不被窃取,很多重要网站(比如电商、网银)会用SSL做加密通信。
而这个漏洞的出现,从结果看,攻击者可直接绕过加密过程窃取用户登录信息,影响可谓巨大。
从攻击条件看,不需要任何身份认证或服务器权限,且已有成熟的PoC,利用很简单。
目前已知淘宝网、微信、12306均已中招。
站在甲方的角度,一方面需要立即升级到 OpenSSL 1.0.1g 版本,另一方面可以考虑和已有的IPS厂商合作,尽快升级IPS特征库抵御攻击。作为用户,最近还是不要登录Https的网站比较好。至少,你不登录,服务器内存就不会有你的登录信息,自然也就不会泄露。
我有印象的上次因为SSL协议的漏洞造成的大范围攻击,应该是2011年底,德国黑客公布的SSL DoS攻击:thc-ssl-dos。那个漏洞是攻击者快速重复与服务器协商加密算法,从而快速消耗服务器的CPU资源,达到DoS的目的。我曾用一台普通PC在两分钟之内让一台日本的web服务器垮掉,可见威力之大。
通过这两例漏洞事件,不难看出两点:
1.网络基础设施的漏洞威力太大,所有甲方厂商都应该将此类事件当作头等大事来看。
2.不要迷信任何“安全的”措施。SSL本来是为了安全,但很不幸,他也成了攻击的靶子。