OpenSSL發現重大漏洞,美國國土安全局資安小組US-CERT也發布資安通報,揭露受影響的廠商,並呼籲企業盡快更新。

確保網路傳輸與資料加密安全的OpenSSL開放源碼加密安全套件,日前被資安研究人員發現有一個隱匿2年之久的漏洞Heartbleed(心臟淌血),漏洞編號CVE-2014-0160,駭客可以透過此一漏洞,竊取所有https網站記憶體中64 KB 的資料,包括:帳號、密碼甚至是加密私鑰等等。

戴夫寇爾執行長翁浩正表示,所有使用Https網站的服務,例如網銀、社交網站、電子商務網站及包含會員機制的網站在內,普遍受到影響,都應該立即升級OpenSSL軟體到1.0.1g版或1.0.2-beta2,以修復相關漏洞。

採用OpenSSL加密網站,陷入高度風險

資安公司Codenomicon及Google安全部門的Neel Mehta發現這個OpenSSL漏洞,全球擁有Web伺服器市占一半以上的Apache,也都是使用OpenSSL這套軟體來進行SSL/TLS加密。

由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed(心臟淌血)漏洞。

Codenomicon資安研究人員解釋,Heartbleed漏洞可能讓網路上任何人讀取到由OpenSSL防護的系統記憶體,進而獲得辨識服務供應商或加密網路流量的密鑰,或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身分驗證內容,並且假冒服務或使用者身分。

研究人員實地測試發現,Heartbleed漏洞可讓他們無需權限資料就可以取得自己的x.509加密金鑰、用戶帳號、即時通訊、電子郵件及公司重要文件及通訊內容,而且完全不留任何痕跡。

因此即使公司系統曾經遭到入侵,管理員可能也無從得知。因此,翁浩正表示,當駭客可以利用這個漏洞從網站伺服器中讀取上述機敏資料時,許多網站都因為此一漏洞陷入機敏資料外洩、帳號和加密私鑰遭竊的風險。

目前這個OpenSSL漏洞影響到所有使用OpenSSL的服務,包括:HTTP、SMTPS、IMAPS、POP3S等,受影響的系統除了OpenSSL 1.0.1到1.0.1f之外,也影響到其他使用OpenSSL做加密服務的作業系統,包括Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3、FreeBSD 10.0、NetBSD 5.0.2以及OpenSUSE 12.2等版本。

臺灣使用Https網站都有風險

翁浩正指出,所有使用Https網站的服務,例如網銀、社交網站、電子商務網站及包含會員機制的網站在內,都在這波攻擊範圍內。但是許多企業面臨到困境則是,設備難以直接更新或已經過保固期,一定要請原廠協助。

他建議,所有企業應該立即升級OpenSSL軟體到1.0.1g版或1.0.2-beta2以修復相關漏洞,也可以借助Heartbleed test檢測網站(http://filippo.io/Heartbleed/),測試公司網站是否有編號CVE-2014-0160的漏洞;或者是借助自我測試工具(http://s3.jspenguin.org/ssltest.py),會顯示網站記憶體中是否有包含加密私鑰等機敏資料等。

OpenSSL是用C語言寫的函式庫,心臟淌血漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫C語言程式設計錯誤,許多老舊的程式碼可能都潛藏這樣的漏洞,翁浩正認為,企業也應該趁此清查網站伺服器的安全性。

他也提出8個應對措施,首先,確認自己的 OpenSSL 版本是否在受害範圍;再者,使用 ssltest.py 檢測工具檢測是否含有漏洞;第三步則是更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2,第四步則要重開所有與 OpenSSL 函式庫相關之服務,達到第五步,重新產生 SSL Private Key(避免Private Key先前已經藉由漏洞外洩)。

接著,他說,第六步要做到將網站舊憑證撤銷,並且清除所有目前網頁伺服器上的Session(因為可能遭到竊取),最後,包括網站管理者和所有使用者都應該更換密碼並定期追蹤,以確保沒有帳號被盜用。文⊙林妍溱、黃彥棻


Advertisement

更多 iThome相關內容