在备受关注的Heartbleed漏洞被曝光的一个多月之后,调查发现这个严重的OpenSSL漏洞仍然存在于数十万台服务器以及一些SSL端口中,这主要是因为整个行业的响应工作不到位。
这个Heartbleed漏洞早在2011年12月就被植入了OpenSSL代码,直到2014年4月初才被发现,该漏洞是因为没有对广泛使用的OpenSSL加密库中的TLS heartbeat extension处理进行漏洞检查而造成的。
因为Heartbleed漏洞,存储在数以百万计的服务器和客户端的内存中的敏感数据都可能被泄露。并且,虽然没有证据表明该漏洞在曝光前被成功利用,或者说,在大多数情况下该漏洞值得攻击者进行利用,但在过去一个月中,Heartbleed已经被用于真正的攻击和模拟攻击中。
然而,尽管信息安全行业努力宣传Heartbleed的危害性,该漏洞仍然广泛存在。上周Errata Security公司首席执行官Robert Graham在博客文章中称,他扫描了互联网的端口443,发现超过30万台系统仍然容易受到Heartbleed的影响,虽然这比他一个月前估计的60万台系统减少了一半,但这仍然是一个庞大的数据。Graham指出他并没有涵盖其他已知SSL端口(例如SMTP),另外,这个月他发现支持SSL的系统减少了约600万台。
“这些数字有些奇怪,上个月,我发现2800万台系统支持SSL,但这个月我只看到2200万台系统,”Graham表示,“我怀疑,这次人们检测到了我的Heartbleed‘攻击’,并在我的扫描完成之前屏蔽了我。或者,另外一个原因可能是,我的ISP(互联网服务供应商)可能出现了流量拥塞的情况,从而导致这个数字减少。”
令人震惊的是,虽然企业和用户都在积极采取措施来缓解Heartbleed,但这个过程中却充斥着各种基本错误。上周,分析公司NetCraft公布了一份调查结果显示,只有14%受该漏洞影响的网站执行了完整的三个步骤来缓解这个问题:更换其SSL证书、撤销旧证书以及使用不同的私钥签发新证书。
Netcraft发现,57%的受影响网站没有采取任何行动来响应Heartbleed。另外21%的网站使用新私钥重新签发了证书,但没有撤销旧证书。最后的5%使用旧私钥签发新证书,这是一个严重的错误,Netcraft发现某些加拿大政府网站(包括魁北克省汽车保险局)就犯了这个错误,即使在他们受到Heartbleed相关攻击之后。
“其网站之一secure.saaq.gouv.qc.ca签发了新的证书来响应Heartbleed漏洞,以前的漏洞在4月29日被撤销,”Netcraft表示,“CRL撤销状态列出的原因是‘keyCompromise(密钥泄露)’,但证书颁发机构仍然允许使用相同的私钥来签发新证书。这意味着持有被泄露证书的人仍然模拟新证书。”
Heartbleed漏洞的影响范围不仅限于Web服务器。工业控制系统计算机应急响应小组(ICS-CERT)上周发布了一份公告,警告Heartbleed漏洞存在于Digi International制造的五款产品中,Digi International是机器对机器产品和服务供应商,其产品和服务广泛用于很多SCADA和ICS环境。
加拿大手机巨头BlackBerry也被迫更新其多款产品,包括其用于Android和iOS的Blackberry Messenger应用、BlackBerry Enterprise Service 10和BlackBerry Link,与苹果、甲骨文、西门子等供应商一样,该公司已经发布了Heartbleed相关的安全补丁。
与普通用户相比,企业和政府机构的响应可以说是快捷和高效的。根据身份盗窃服务供应商LifeLock公司对2000名美国成年人的网上调查显示,在听说过Heartbleed的受访者中,近一半的人还没有更改其密码。当被问到为什么时,44%的受访者表示,他们根本不关心这个漏洞带来的安全隐患,另外12%认为更改密码是“大工程”。
虽然很多最大科技公司最近承诺注资数百万来帮助保护OpenSSL以及其他重要开源项目抵御下一个Heartbleed,但目前的这个漏洞显然还没有得到控制。本周在卡耐基梅隆软件工程研究所CERT的问答环节中,工作人员Jason McCormick建议受到该漏洞影响的企业升级到最新的OpenSSL版本,并进行彻底的风险评估以发现该问题的严重程度。
“最大的问题是,接下来该怎么做。对于这个问题,并没有放之四海而皆准的解决方案,企业将需要根据自己的风险承受能力和成本来做出决定,”McCormick表示,“所有企业都应该尽快对易受到Heartbleed影响的联网系统重新发布证书。私钥材料(可用于解密捕捉数据或模拟网站)的潜在泄露让这个工作变得尤为重要。”