心臟滴血漏洞：OpenSSL中的一個(gè)漏洞如何導(dǎo)致安全危機(jī)

Heartbleed是什么?

Heartbleed(“心臟滴血”)是OpenSSL在2014年4月曝光的一個(gè)漏洞;它出現(xiàn)在數(shù)千個(gè)網(wǎng)絡(luò)服務(wù)器上，包括那些運(yùn)行像雅虎這樣的主要網(wǎng)站的服務(wù)器。

OpenSSL是實(shí)現(xiàn)傳輸層安全(Transport Layer Security, TLS)和安全套接字層(Secure Sockets Layer, SSL)協(xié)議的開放源代碼庫。該漏洞意味著惡意用戶可以很容易地欺騙易受攻擊的web服務(wù)器發(fā)送敏感信息，包括用戶名和密碼。

TLS/SSL標(biāo)準(zhǔn)對現(xiàn)代網(wǎng)絡(luò)加密至關(guān)重要，雖然漏洞是在OpenSSL的實(shí)現(xiàn)中，而不是標(biāo)準(zhǔn)本身，但OpenSSL被廣泛使用。當(dāng)漏洞被公開時(shí)，它影響了所有SSL服務(wù)器中的17%并它引發(fā)了一場安全危機(jī)。

為什么 Heartbleed 被稱為 Heartbleed?

Heartbleed的名稱來自heartbeat，它是TLS/SSL協(xié)議的一個(gè)重要組件的名稱。心跳是兩臺電腦相互通信時(shí)，即使用戶此刻沒有下載或上傳任何東西，也能讓對方知道它們?nèi)匀贿B接著。偶爾其中一臺計(jì)算機(jī)會(huì)向另一臺發(fā)送一條被加密的數(shù)據(jù)，稱為心跳請求。第二臺計(jì)算機(jī)將返回完全相同的加密數(shù)據(jù)，證明連接仍然存在。

Heartbleed漏洞之所以得名，是因?yàn)楣粽呖梢允褂眯奶埱髲哪繕?biāo)服務(wù)器提取信息，也就是說，受害者通過心跳請求獲取敏感數(shù)據(jù)。

心臟滴血如何工作?

Heartbleed利用了一個(gè)重要的事實(shí):心跳請求包含關(guān)于其自身長度的信息，但是OpenSSL庫的易受攻擊版本不會(huì)進(jìn)行檢查以確保信息的準(zhǔn)確性，攻擊者可以利用這一點(diǎn)欺騙目標(biāo)服務(wù)器，使其允許攻擊者訪問其內(nèi)存中應(yīng)該保持私有的部分。

為什么 Heartbleed 很危險(xiǎn)?

“心臟滴血”是危險(xiǎn)的，因?yàn)樗尮粽呖吹絻?nèi)存緩沖區(qū)的內(nèi)容，其中可能包括敏感信息。誠然，如果您是攻擊者，您無法提前知道剛剛從服務(wù)器獲取的20 KB內(nèi)存中可能隱藏著什么，但是存在多種可能性。如果足夠幸運(yùn)可以得到SSL私鑰，這將允許解密到服務(wù)器的安全通信，盡管幾率很小，但不排除會(huì)被黑客獲取。更常見的情況是，可以取回提交給服務(wù)器上運(yùn)行的應(yīng)用程序和服務(wù)的用戶名和密碼，這樣你就可以登錄到這些應(yīng)用程序并獲得用戶帳戶。

Heartbleed是如何被發(fā)現(xiàn)的?

Heartbleed 實(shí)際上是由兩個(gè)不同的小組以非常不同的方式獨(dú)立工作發(fā)現(xiàn)的：一次是在審查 OpenSSL 的開源代碼庫的過程中，一次是在對運(yùn)行 OpenSSL 的服務(wù)器的一系列模擬攻擊期間。這兩個(gè)獨(dú)立的發(fā)現(xiàn)發(fā)生在幾周之內(nèi)，但該漏洞已經(jīng)潛伏了2年未被發(fā)現(xiàn)。

心臟滴血 CVE

心臟滴血漏洞的CVE編號是 CVE-2014-0160，CVSS3.1打分7.5，屬于嚴(yán)重漏洞。

Heartbleed 漏洞利用：Heartbleed 影響了哪些人?

“心臟滴血”(Heartbleed)漏洞在現(xiàn)實(shí)世界中已經(jīng)被利用過，但目前尚不清楚在該漏洞被廣泛公布之前是否有被利用過。早在2013年，安全公司就發(fā)現(xiàn)了一些未遂攻擊在探測該漏洞。

2014年4月，Codenomicon公開了這個(gè)漏洞，之后出現(xiàn)了一系列活動(dòng)和一定程度的混亂，各公司爭相更新自己的系統(tǒng);例如，雅虎(Yahoo)和OKCupid的用戶曾被簡短地建議在OpenSSL安裝補(bǔ)丁之前不要登錄自己的賬戶，并在重新獲得訪問權(quán)限后更改密碼。

心血成本

“心臟滴血”的代價(jià)超過了這些成功攻擊所造成的損害;《安全雜志》估計(jì)，數(shù)千個(gè)組織需要撤銷和更換他們的SSL證書的成本可能高達(dá)5億美元。再加上檢查和更新系統(tǒng)所需的工作時(shí)間，與這個(gè)漏洞相關(guān)的支出會(huì)大幅飆升。

Heartbleed 仍然是安全隱患嗎?

Heartbleed 是在 8 年多前被發(fā)現(xiàn)并修補(bǔ)的，然而許多服務(wù)器仍然存在 Heartbleed 漏洞。事實(shí)上，據(jù)SANS Internet Storm Center 的研究人員稱，到 2020 年 11 月，在線的服務(wù)器超過20萬。雖然從那以后這個(gè)數(shù)字可能有所下降，但幾乎可以肯定仍有許多易受攻擊的服務(wù)器等待被黑客攻擊。

超過六成的安全漏洞與代碼有關(guān)，而靜態(tài)代碼分析技術(shù)可以減少30-70%的安全漏洞。目前，在OWASP TOP 10 安全漏洞中，60-70%的安全漏洞類型可以通過源代碼靜態(tài)分析技術(shù)檢測出來。目前，隨著惡意軟件不斷升級，網(wǎng)絡(luò)攻擊手段不斷改進(jìn)，僅通過傳統(tǒng)防護(hù)手段如防火墻、殺毒軟件等安全防御不足以全面抵抗網(wǎng)絡(luò)攻擊和惡意軟件入侵。因此亟需加強(qiáng)軟件自身安全，減少軟件系統(tǒng)安全漏洞。通過在軟件開發(fā)過程中不斷檢測代碼缺陷并修復(fù)，確保軟件安全是提高網(wǎng)絡(luò)安全性的重要手段。

來源：

https://www.csoonline.com/