智慧漏洞于2012年被引入Openssl Crypto图书馆。它在2014年发现并修复,但今天 - 五年后 -​​仍有未分割的系统

本文将为IT团队提供必要的信息,以决定是否应用Heartbled漏洞修复。但是,我们注意:后者可能会使您的用户的数据暴露于未来的攻击。

什么是令人心碎的弱点?

Heartbleed是openssl加密库中的代码缺陷。这是它的样子:

Memcpy(BP,PL,有效载荷);

2014年,发现了一个漏洞openssl.,这是一个流行的加密库。OpenSSL为开发人员提供了用于实现安全套接字层(SSL)和传输层安全(TLS)协议的工具和资源。

网站,电子邮件,即时消息(IM)应用程序,以及虚拟专用网络(VPN)依赖SSL和TLS协议来保证互联网上通信的安全性和私密性。带有OpenSSL组件的应用程序暴露在“心脏出血”漏洞之下。在发现的时候,这占所有SSL服务器的17%。

在被发现后,该漏洞被授予官方漏洞标识符CVE-2014-0160,但它更广为人知的名字是Heartbleed。后者是由Codenomicon公司的一名工程师发明的,他是发现这个漏洞的人之一。

eStrbled的名称来自漏洞的源 - RFC 6520心跳扩展的错误实现,它在其内部填写了OpenSSL的SSL和TLS协议。

Heartbled漏洞行为

Heartbled的漏洞削弱了最常见的互联网通信协议的安全性(SSL和TSL)。受到Heartbley影响的网站允许潜在的攻击者阅读他们的记忆。这意味着可以通过Savvy Cyber​​ss找到加密密钥。

暴露了加密密钥后,威胁行为者就可以访问入侵系统所需的凭证(如姓名和密码)。在系统内部,根据窃取的凭证的授权级别,威胁行为者可以发起更多的攻击、窃听通信、模拟用户和窃取数据。

Heartbleed是如何工作的

图像源码

Heartbleed漏洞破坏了SSL和TLS服务器和客户端之间通信的安全性,因为它削弱了Heartbeat扩展。

理想情况下,心跳扩展应该通过验证对服务器所做的请求来保护SSL和TLS协议。它允许计算机在通信的一端上发送心跳请求消息。

每条消息都包含一个有效载荷-a包含发送信息的文本字符串 - 表示有效载荷的内存长度的数字 - 通常为16位整数。在提供所请求的信息之前,HeartBeat扩展应该执行验证输入请求的绑定检查,并返回所请求的确切有效载荷长度。

OpenSSL心跳扩展中的缺陷在验证过程中创建了漏洞。而不是进行绑定检查,而不是通过验证过程分配内存缓冲区的心跳扩展。威胁演员可以发送请求,并在内存缓冲区中提供最多64千字节的任何信息。

内存缓冲区是临时内存存储位置,用于在运输中存储数据。它们可能包含批次的数据类型,其代表不同的信息商店。从本质上讲,内存缓冲区在发送到其指定位置之前保留信息。

内存缓冲区没有组织数据 - 它将其存储为批次。一个内存缓冲区可能包含敏感和财务信息,以及凭据,cookie,网站页面和图像,数字资产以及运输中的任何数据。当威胁演员利用智慧漏洞时,它们会欺骗心跳扩展,为它们提供内存缓冲区内的所有信息。

Heartbleed Fix

谷歌的Bodo Moeller和Adam Langley创建了Shumbleed的修复。他们写了一种代码,告诉心跳扩展,以忽略任何询问更多数据的心跳请求消息而不是有效载荷需求。

这是a的一个例子Heartbleed修复

if(1 + 2 +有效载荷+ 16> s-> s3-> rrec.length)返回0;/ *每RFC 6520秒静静地丢弃。4 * /

我们知道它的情况下,如何表现出智慧的脆弱性

发现Heartbled漏洞在全球恐慌创造。一旦修复了固定,怠速手指就开始寻找事件的原因。在openssl的紧密审查透露,这个广泛流行的图书馆仅由两名具有令人震惊的低预算的人保持。

这一发现激发了两项积极的举措,改变了开源的格局:

  • 组织意识到支持开源项目的重要性。只有两个人可以用个人储蓄来做。另一方面,组织可以提供维护开源项目安全性所需的资源。
  • 为了帮助资助重要的开源项目,Linux开始了核心基础设施计划(CII)。CII选择最关键的开源项目,这些项目被视为互联网和其他信息系统的生命力必不可少。CII收到大型组织的捐款,并以方案和补助金的形式为OSS倡议提供。

与任何导致变革的危机一样,“心脏出血”脆弱性也带来了一个负面的副作用:脆弱性品牌的崛起。“心脏出血”漏洞是由两个实体同时发现的——谷歌和Codenomicon。

谷歌选择私下披露漏洞,仅与OpenSSL贡献者分享信息。另一方面,CodeNomicon选择将新闻传播到公众。他们将漏洞命名为漏洞,创建了一个徽标和网站,并像资助的营销活动一样接近该公告。

在接下来的几年里,许多披露的漏洞是一个几乎是名人的待遇,普国机构将其建立在品牌,并营销代理部署品牌名称,徽标和网站。虽然这肯定有助于警告公众反对零日漏洞,也可以创造大规模的混乱。

如今,安全专家和软件开发人员正在达到数千人的漏洞。要正确保护其系统,他们需要优先考虑漏洞。这意味着决定现在需要修补哪些漏洞,并且可以推迟。有时,品牌漏洞的销售在于它们的销售是至关重要的。

发生这种情况时,并非所有受影响的各方都有时间,技能和资源来确定漏洞的真正重要性。专业人士而不是将漏洞转化为嗡嗡声,而是通过创建修复来更好地为公众服务。

今天巧妙地

今天,在“心脏出血”漏洞被披露五年后,它仍然存在于许多服务器和系统中。当然,当前版本的OpenSSL已经修复。但是,没有(或不能)升级到OpenSSL补丁版本的系统仍然受到该漏洞的影响,并容易受到攻击。

对于威胁演员来说,找到“Heartbleed”漏洞是一项奖励;通过自动化检索工作更容易访问。一旦威胁行动者发现了一个脆弱的系统,利用该漏洞就相对简单了。当这种情况发生时,威胁行动者将获得可用于发动其他攻击的信息和/或凭证的访问权。

修补或不修补

Heartbled漏洞是由于人为错误引入OpenSSL的安全错误。由于OpenSSL的普及,许多应用程序受到影响,威胁演员能够获得大量数据。

在发现该漏洞之后,谷歌员工找到了一个解决方案,并向OpenSSL贡献者提供了修复该问题的代码。然后指导OpenSSL用户升级到最新的OpenSSL版本。

然而,今天,“心脏出血”漏洞仍然可以在应用程序、系统和设备中找到,尽管这只是升级OpenSSL版本的问题,而不是编辑代码库。如果你担心你可能会受到影响,你可以测试你的系统如果设备无法支持修补,则为智慧漏洞和修补程序以消除风险或减少。

任何服务器或云平台都应该相对容易地修补。但是,物联网设备可能需要更先进的缓解技术,因为它们有时无法被修补。此时,我们建议与您的Sysadmin发言,以确定如何减轻这个问题。