Heartbleed рядом
Уязвимость в OpenSSL CVE-2014-0160, опубликованная 7 апреля и получившая наименование Heartbleed, позволяет удаленному атакующему читать фрагменты оперативной памяти уязвимого процесса.
Что это значит на практике? Мы проверили 1000 IP-адресов одного из ЦОД Беларуси. Приведем скриншот прочитанного блока памяти одного из уязвимых серверов (обратите внимание на наличие полей Cookie, login, password).
Фактически удаленный анонимный злоумышленник может получить имена, пароли, cookies и другие данные, оставшиеся в памяти уязвимого сервиса, например, веб-сайта.
Подвержено атаке любое программное обеспечение, использущее OpenSSL уязвимых версий с включенной опцией Heartbeat (включена по умолчанию), — и клиентская часть, и серверная. Это в первую очередь веб-серверы. Почтовые серверы (IMAPS, POP3S, SMTPS и даже SMTP с включенной опцией STARTTLS) уязвимы — злоумышленник может читать из памяти письма или данные учетных записей пользователей.
Любопытно, что уязвимы именно «свежие» версии OpenSSL — от 1.0.1 до 1.0.1f. Администраторы, которые не спешили обновлять свои серверы и работали, например, на версии 0.9.8, могут спать спокойно.
Еще раз: атаке подвержено любое ПО с поддержкой TLS/SSL, реализованной на базе библиотеки OpenSSL уязвимых версий. Это не только серверы и клиенты, но и элементы сетевой инфраструктуры:
— балансировщики и системы Web Application Firewall, которые проксируют SSL-соединения;
— почтовые шлюзы;
— системы аутентификации;
— любые устройства (коммутаторы, маршрутизаторы, средства защиты) с включенным защищенным веб-интерфейсом управления.
Даже спустя 3 дня после выпуска исправления находятся уязвимые системы. Это значит, что у злоумышленников было достаточно времени, чтобы атаковать лакомые ресурсы: ведь достаточно выбрать цель, запустить в бесконечном цикле эксплойт и сохранять результаты в файл (см. иллюстрацию выше), затем извлечь интересующие данные.
Полагаю, что громкие последствия утечек, связанных с Heartbleed-атаками, ещё ждут нас впереди.
Инструменты для проверки:
— скрипт на Python ssltest.py
— скрипт на Perl check-ssl-heartbleed.pl
— сканер Masscan (с опцией «-heartbleed»)
Еще по теме:
- Построение бессерверных филиалов (часть 5). Применение WOC для обеспечения уровня обслуживания в симметричной схеме
- Проверка рабочего состояния сети (Часть 2)
- Сервисы информационной безопасности в ЦОД
- Некоторые вопросы коммутации в ЦОД (политики, BPDU, physical vs vswitch)
- Страховка от некорректных изменений в сети. Быстро. Недорого
Комментариев пока нет
Добавить комментарий