Ekşili Köfte Hatay

OpenSSL 今天公告了一個極度嚴重的漏洞（CVE），被稱為「Heartbleed」，而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料，利用傳送 heartbeat 的封包給伺服器，在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料，因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等，因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。詳細的分析可以參閱 existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug

• 軟體名稱：OpenSSL
• 影響範圍： 至 f / beta ~ beta1
• 修復版本：g / beta2
• 影響系統版本
  • Debian Wheezy (stable), OpenSSL e-2+deb7u4
  • Ubuntu LTS, OpenSSL ubuntu
  • CentOS , OpenSSL e
  • Fedora 18, OpenSSL e-4
  • OpenBSD (OpenSSL c 10 May ) and (OpenSSL c 10 May )
  • FreeBSD &#; OpenSSL e 11 Feb
  • NetBSD (OpenSSL e)
  • OpenSUSE (OpenSSL c)
• 影響服務：HTTP、SMTPS、IMAPS、POP3S 等使用 OpenSSL 之服務

OpenSSL 的公告如下：seafoodplus.info

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only and beta releases of OpenSSL are affected including f and beta1.

如何自我檢測？

要如何測試自己的網站有沒有這樣的漏洞呢？可以利用以下的網站或工具直接查詢。

直接輸入 Domain 即可查詢，例如「seafoodplus.info」。

使用方法直接執行「python seafoodplus.info seafoodplus.info」，或是用「-p」指定特定 SSL 連接埠。畫面上會顯示出記憶體資料，可能內含機敏資料例如 private key、session cookie 等。

原始碼如下：

使用方法直接執行「perl seafoodplus.info seafoodplus.info」，可在網域名稱後指定特定 SSL 連接埠。

使用說明：

應對措施

如果發現自己的伺服器有這樣的漏洞，該怎麼辦呢？

1. 確認自己的 OpenSSL 版本是否在受害範圍
2. 使用 seafoodplus.info 檢測工具檢測是否含有漏洞
3. 更新 OpenSSL 至 g 或 beta2
4. 重開所有與 OpenSSL 函式庫相關之服務
5. 重新產生 SSL Private Key (因為 Private Key 可能藉由漏洞外洩)
6. 將網站舊憑證撤銷
7. 清除所有目前網頁伺服器上的 Session （因為可能遭到竊取）
8. 必要時更換網站內使用者密碼，或是密切追蹤網站是否有帳號盜用的情況發生

詳細討論與建議可以參考
Heartbleed: What is it and what are options to mitigate it? seafoodplus.info

誰會是目標呢？

真的會有攻擊者利用這樣的攻擊手法嗎？目前在烏雲 wooyun平台上已經滿滿的資安研究員開始回報網站含有 OpenSSL 漏洞。也有駭客在嘗試撰寫更有效的攻擊利用程式，想要藉此把平常打不下來的網站一舉攻陷。

怎樣的站台會是重點目標呢？含有會員機制的網站特別如此，例如 Web Mail、社群網站等等。因此不少企業要多注意了，例如全世界最大的社群網站 Facebook、SlideShare、台灣知名電信公司網站、社交平台、網路銀行、NAS，都會在這波的攻擊範圍之內。如果沒有儘速修復，等到更有效的攻擊程式出現，就真的等著失血了。