Главная > Статьи > Heartbleed рядом

Heartbleed рядом

10.04.2014 | Кацубо Сергей
Want create site? Find Free WordPress Themes and plugins.

Уязвимость в OpenSSL CVE-2014-0160, опубликованная 7 апреля и получившая наименование Heartbleed, позволяет удаленному атакующему читать фрагменты оперативной памяти уязвимого процесса.

Что это значит на практике? Мы проверили 1000 IP-адресов одного из ЦОД Беларуси. Приведем скриншот прочитанного блока памяти одного из уязвимых серверов (обратите внимание на наличие полей Cookie, login, password).

Фактически удаленный анонимный злоумышленник может получить имена, пароли, cookies и другие данные, оставшиеся в памяти уязвимого сервиса, например, веб-сайта.

Подвержено атаке любое программное обеспечение, использущее OpenSSL уязвимых версий с включенной опцией Heartbeat (включена по умолчанию), — и клиентская часть, и серверная. Это в первую очередь веб-серверы. Почтовые серверы (IMAPS, POP3S, SMTPS и даже SMTP с включенной опцией STARTTLS) уязвимы — злоумышленник может читать из памяти письма или данные учетных записей пользователей.
Любопытно, что уязвимы именно «свежие» версии OpenSSL — от 1.0.1 до 1.0.1f. Администраторы, которые не спешили обновлять свои серверы и работали, например, на версии 0.9.8, могут спать спокойно.

Еще раз: атаке подвержено любое ПО с поддержкой TLS/SSL, реализованной на базе библиотеки OpenSSL уязвимых версий. Это не только серверы и клиенты, но и элементы сетевой инфраструктуры:
— балансировщики и системы Web Application Firewall, которые проксируют SSL-соединения;
— почтовые шлюзы;
— системы аутентификации;
— любые устройства (коммутаторы, маршрутизаторы, средства защиты) с включенным защищенным веб-интерфейсом управления.

Даже спустя 3 дня после выпуска исправления находятся уязвимые системы. Это значит, что у злоумышленников было достаточно времени, чтобы атаковать лакомые ресурсы: ведь достаточно выбрать цель, запустить в бесконечном цикле эксплойт и сохранять результаты в файл (см. иллюстрацию выше), затем извлечь интересующие данные.
Полагаю, что громкие последствия утечек, связанных с Heartbleed-атаками, ещё ждут нас впереди.

Инструменты для проверки:
— скрипт на Python ssltest.py
— скрипт на Perl check-ssl-heartbleed.pl
— сканер Masscan (с опцией «-heartbleed»)

Did you find apk for android? You can find new Free Android Games and apps.
Еще по теме:
Комментариев пока нет
Добавить комментарий