自從公開源碼的OpenSSL計畫,公布部分版本OpenSSL加密協定,出現了被稱為「heartbleed」的保安漏洞,攻擊者可獲伺服器內存數據內容後,不少廠商均提醒各網站更新OpenSSL設定,以免遭受入侵。
不過,業界人士以為,OpenSSL漏洞影響所及,可能較原先預期嚴重。各廠商亦陸續公佈受影響產品名單。
OpenSSL攻擊者通過惡意代碼,可直接從讀取Web伺服器記憶體內存信息,每次讀取伺服器上記憶體的64kB數據量,可反覆讀取更多記憶體內容,甚至藉此破解非對稱加密的私用鑰(Private-Key) 憑證檔案(.cer),從而破解內容,甚至假扮管理者盗取Root的管理權限,再操縱整部機器。有關的保安漏洞可參考:http://heartbleed.com/
今次OpenSSL影響廣泛,因為OpenSSL為最普遍採用的安全協定;從網站、電郵、IM以至部分VPN,均是採用OpenSSL加密機制保護。雲服務供應商Amazon等已向EC2用戶發出保安通諜,並提供堵塞保安漏洞緊急補救程式。
今次OpenSSL版本影響的範圍,包括了主要Linux作業系統,幾乎所有Linux系統均已發佈了補救程式。但原來OpenSSL也廣泛應用在不少網絡設備上的Web介面。
Juniper亞太區資訊安全資深顧問梁定康說,企業網絡保安產品之間,一般均不使用OpenSSL作加密,但用戶設定路由器或防火牆的部分Web伺服器介面,則可能沿用OpenSSL協定。
「上述設定介面一般只能在內聯網內存取,估計受影響用戶不會太多。不過,用戶若果容許防火
牆以外,通過Web介面來設定設備,風險就高得多,所有交換資料有可能被破解。Juniper已在網站上公佈受影響產品,包括部分SSL-VPN產品,並發出補救程式,同時協助客戶升級到新版本。」
「因為heartbleed可竊取重要資料不留痕跡,被視為是有史以來最危險保安漏洞之一。例如黑客進入設備,盗取了Root密碼後,又不留下任何蛛絲馬跡。」。
梁定康估計,部分沒有入侵防禦(IDF)或Web應用防火牆(WAF)的網站,如果趕不及更新OpenSSL,有可能受攻擊泄漏機密仍不知情。
此外,不少家用網絡設備也採用OpenSSL,設定不當也有可能被入侵。他也同意:「家用網絡
設備採用OpenSSL的情況普遍,也較難於逐一更新。」
另一家網絡產品廠思科,已於網站上陸續公佈受影響的產品名單。由於產品的數量眾多,仍在點
算之中。思科UC產品,包括多部IP電話和Unified Communications Manager (UCM) 10.0,甚至部分交換器,均在受影響之列。
另外,不同保安廠商也迅速回應,更新了入侵防禦防火牆(IDF)。趨勢科技於heartbleed漏洞發布數小時內,在IDF保護伺服系統加入漏洞信息規則,防止信息被竊取,第一時間發布了虛擬補丁,避免用戶泄露數據。
趨勢科技中國區業務發展總監童寧說,堵塞網絡漏洞是時間戰爭,行動必須迅速。用戶礙於客觀
原因,不可能逐一檢查伺服器或設備,也無法迅速升級Open SSL的最新版本。而升級之前,採取應急措施確保信息不被竊取最為關鍵。趨勢科技漏洞發布的數小時內,加入漏洞信息DPI規則之內,因此趨勢科技 Deep Security 、OfficeScan等產品用戶,有較充裕時間作Open SSL升級,同時防止數據泄露。
沒有留言:
發佈留言