北京时间4月19日上午消息,研究人员刚刚发现了利用“心脏流血”漏洞的另外一种方式,黑客可以借此成功绕过多步认证措施,以及VPN(虚拟专用网络)的欺诈探测机制。
当OpenSSL的这一重大漏洞上周曝光后,外界对其主要危害的了解仅限于窃取用户名、密码和加密秘钥。但研究人员最近证实,该漏洞还可以用于在广泛使用的OpenVPN以及其他的VPN应用中窃取私钥。
网络安全研究公司Mandiant的研究人员周五表示,“心脏流血”漏洞已经被用于破坏VPN集中器,这种应用通常可以为用户提供一种从外部访问组织内部网络的安全措施。这类设备通常需要在获取访问权限前进行多步认证。除了密码外,还需要其他形式的安全令牌。而“心脏流血”漏洞恰恰可以突破这一机制,黑客在该漏洞公布后不到一天,就研究出了这一进攻措施。
黑客并没有尝试通过密码或加密秘钥来入侵VPN,而是着眼于目标集中器设定的会话令牌,这种集中器有很多都采用了存在漏洞的OpenSSL版本。黑客首先向VPN设备上的HTTPS网络服务器发送畸形的“心跳”请求,由于受到攻击的VPN设备都采用存在漏洞的OpenSSL,因此黑客可以借此获得拥有授权的用户的活跃会话令牌。借助活跃会话令牌,攻击者便可成功劫持多活跃用户会话,并让VPN集中器相信,攻击者已经获得合法授权。
通过对IDS签名和VPN日志的分析,也可以证明此事的真实性。Mandiant则在博客中表示,由于OpenSSL已经深深植根于互联网的各个角落,所以该漏洞的危害极大,目前还无法判断究竟有多少方法可以利用这种漏洞。