赛门铁克解析Heartbleed漏洞-网络安全专区

赛门铁克解析Heartbleed漏洞

作者：厂商投稿编辑：王宁 2014-04-22 10:54 IT168网站原创

　　【IT168 评论】当前业界对于Heartbleed漏洞的关注点大部分都聚焦在那些易受攻击的公共网络上，但实际上，其所造成的损害，绝不仅限于此。赛门铁克认为，虽然现在大多数主流网站的安全措施已经相对完善，但这并不意味着终端用户可以高枕无忧了。

　　Heartbleed对于客户端软件及硬件服务器的潜在威胁

　　因为Heartbleed可能会影响到很多客户端软件，包括网络、邮件、聊天工具、FTP、移动应用、VPN、甚至软件升级工具等等，都可能会面临Heartbleed的威胁。简单来讲，任何通过有漏洞的OpenSSL(开放源代码的安全套接层)，或使用SSL/TLS安全协议进行通讯的客户，都有可能会遭到网络攻击。另外，Heartbleed不仅会对网页服务器造成威胁，同时还会威胁到其他很多类型的服务器的安全，其中包括代理服务器、介质服务器、游戏服务器、数据库服务器、聊天服务器以及FTP服务器等。总之，该漏洞可以对几乎所有硬件设备带来安全威胁，例如路由器、程控交换机(商务电话系统)以及通过“物联网”联接的各类设备。

　　解析利用Heartbleed漏洞的主要攻击方式

　　通过Heartbleed漏洞对软件及硬件服务器进行攻击的方式，与针对有漏洞的网站所发动的攻击方式类似。然而，其针对用户进行攻击的方式，则有两种完全不同的路径。一般来讲，利用Heartbleed发动的攻击通常是被感染的用户发送病毒到安全防护措施不足的服务器，随后服务器上的隐私信息遭到泄露。然而，一种完全相反的攻击路径也可以奏效。安全意识薄弱的用户连接至服务器之后，服务器会发送恶意的Heartbeat信息给该用户，从而窃取用户内存中存储的大量信息，其中很有可能包括一些认证信息或其他用户的隐私数据。

图片 1. Heartbleed既可以直接攻击服务器，也可以反过来将安全意识薄弱的用户作为突破口

　　令人感到幸运的是，尽管用户本身是一个薄弱点，但是攻击者要想在现实情况下通过这种方式对用户进行攻击，也并非易事。黑客发动攻击的途径主要有两个，一个是诱导用户访问已经被感染的SSL/TLS服务器，另一个是通过一个并无关联性的漏洞来劫持连接路径。但无论是采取哪种方式，对于攻击者来说都是有难度的。下面我们就来分析一下这两种方式：

　　诱导用户访问携带病毒的服务器。通过安全措施并不完善的网络浏览器进行网络访问，是最易使用户受到感染的方式。攻击者仅需诱导用户访问恶意URL网址，便可以通过携带病毒的服务器来读取用户的网络浏览器内存。用户此前的临时cookies数据、网络访问数据、格式数据以及认证证书等数据，都很容易被攻击者窃取。

　　不过，除了不易受到Heartbleed威胁的NSS(网络安全服务)库之外，目前大多数主流网络浏览器使用的并不是OpenSSL。然而也有例外，很多命令行网页用户使用的却是OpenSSL(例如wget 和curl )，因此他们很容易遭受Heartbleed的危害。

　　劫持连接路径。如果一个攻击者想要诱导客户访问携带病毒的服务器，则他们需要利用社会工程学，并找到那些最容易被诱骗的网络用户。不过，许多用户往往只会访问预设的硬编码域名，但是即使是这种情况，也很有可能会遭到攻击。比如说通过WiFi等公开的共享网络，攻击者就能看到用户的网络访问情况，并且能够对其进行篡改，从而对安全防范意识薄弱的用户发动攻击。一般来说，采用SSL/TLS(例如HTTPS等加密网络浏览模式)可以有效解决上述问题，因为该加密方式可以阻止攻击者窃听或篡改网络。不过，攻击者仍然可以抢在SSL/TLS协议尚未完全建立之前，向用户发送携带病毒的Heartbleed信息，从而窃取用户计算机内存中的敏感信息或个人隐私。

图片 2. 揭示攻击者如何劫持带有Heartbleed漏洞的OpenSSL网络联接路径，并以安全意识薄弱的用户作为突破口，从而感染服务器，获取计算机内存上的敏感数据

　　除了帮助大家充分了解Heartbleed可能造成的威胁以及攻击方式之外，赛门铁克也为帮助广大用户更好的防范潜在的攻击威胁提出了一些建议：

　　● 对于企业用户的建议:

　　o 使用OpenSSL 1.0.1 f版本的企业，应当升级到最新修正版OpenSSL 1.0.1 g，或者删除heartbeat扩展，对OpenSSL进行重新编译。

　　o 已经升级到OpenSSL修正版的用户，如果在使用过程中发现网络服务器证书被盗，请联系证书授权机构，领取新证书。

　　o 最后，作为非常好的安全实践，企业应考虑重新设置终端用户密码，以防止这些密码信息因为服务器内存被盗而泄露。

　　● 对于消费者的建议:

　　o 消费者们需注意，如果您所访问的网站使用OpenSSL库的漏洞版本，诸如密码等敏感数据将有可能被第三方发现。

　　o 留意任何来自软件供应商的通知。一旦供应商提醒您修改密码，请尽快修改。

　　o 对要求您更新密码的疑似钓鱼邮件，请保持警惕。避免访问虚假网站，坚持访问供应商的官方网站。

　　o 坚持访问知名网站和服务，它们往往在第一时间对漏洞进行修复。

　　o 留意自己的银行卡信息和信用卡信息，查看是否有不正常交易。

关注我们