“心臟出血(Heartbleed)”OpenSSL漏洞震驚了整個(gè)安全市場，如今，它的影響已經(jīng)超出理論上的危險(xiǎn)程度：有兩家企業(yè)報(bào)告稱他們已經(jīng)因?yàn)樵撀┒炊馐芄粽吖簟?/p>

[[111759]]

英國的一家育兒網(wǎng)站Mumsnet表示，他們最早聽說Heartbleed漏洞是在4月10日，也就是該漏洞曝光后的第三天，他們立即對(duì)所有服務(wù)器進(jìn)行了測試。一旦檢測出易受攻擊的情況，Mumsnet網(wǎng)站就立即采用OpenSSL的修補(bǔ)版本，但是就在4月11日，攻擊者還是成功利用該漏洞訪問了Mumsnet網(wǎng)站用戶的賬戶數(shù)據(jù)。

上周末，Mumsnet網(wǎng)站決定強(qiáng)制其所有用戶重新設(shè)置了登陸信息，盡管Mumsnet并不確認(rèn)有人把利用Heartbleed漏洞用于惡意目的。

Mumsnet表示：“攻擊者一旦利用了該漏洞，他就可以登陸你的賬號(hào)，瀏覽你的歷史記錄、個(gè)人信息、注冊(cè)信息等，盡管目前我們還沒有證據(jù)證明有用戶的賬戶信息被用于惡意目的，也不確定Mumsnet網(wǎng)站的哪些用戶受到該漏洞的影響。而最糟糕的情況是，攻擊者已經(jīng)訪問了Mumsnet網(wǎng)站的所有用戶的賬戶數(shù)據(jù)。這也是我們要求所有用戶重置密碼的原因。”

另外，加拿大稅務(wù)局(CRA)在一份聲明中表示，有人利用Heartbleed漏洞，將大約900名納稅人的社會(huì)保險(xiǎn)號(hào)碼從系統(tǒng)中刪除。其實(shí)，CRA在得知Heartbleed漏洞后就暫停了其網(wǎng)上稅務(wù)申報(bào)服務(wù)，但還是為時(shí)已晚。

CRA在應(yīng)用了Heartbleed漏洞補(bǔ)丁并測試其系統(tǒng)安全性以后，于上周日重新推出了在線服務(wù)，但是CRA表示，漏洞的修補(bǔ)工作還會(huì)繼續(xù)。

CRA稱：“我們目前正在分析其它的數(shù)據(jù)信息，有一些涉及到企業(yè)的數(shù)據(jù)可能也已經(jīng)被刪除了。盡管進(jìn)行了嚴(yán)格的控制，我們還是成為眾多受到OpenSSL漏洞影響的企業(yè)之一，不過幸虧我們有加拿大服務(wù)共享局和其他安全合作伙伴的支持，在系統(tǒng)恢復(fù)之前，其它數(shù)據(jù)沒有被繼續(xù)泄露。此外，到目前為止的分析數(shù)據(jù)顯示，還沒有其它CRA機(jī)構(gòu)數(shù)據(jù)泄露事件發(fā)生。”

這些Heartbleed漏洞利用足以顯示了攻擊者收集敏感信息的能力，但是，這個(gè)漏洞還有一個(gè)致命的問題：攻擊者可以利用該漏洞竊取SSL密鑰。

CloudFlare和Akamai已經(jīng)發(fā)現(xiàn)Heartbleed漏洞的復(fù)雜性

兩家安全廠商已意識(shí)到Heartbleed漏洞問題的嚴(yán)重性，越來越多的安全專家也都表示，這是互聯(lián)網(wǎng)有史以來最廣泛的漏洞之一。

在上周的一篇博客中，總部位于舊金山的內(nèi)容分發(fā)網(wǎng)絡(luò)公司CloudFlare修補(bǔ)了其基于早期披露的OpenSSL版本，試圖緩解Heartbleed漏洞容易導(dǎo)致密鑰數(shù)據(jù)泄露的問題，尤其是Nginx服務(wù)器。

CloudFlare的Nick Sullivan表示：“通過在我們的軟件堆棧上的嚴(yán)格測試，現(xiàn)在攻擊者已經(jīng)無法再利用Heartbleed漏洞來竊取服務(wù)器上的密鑰數(shù)據(jù)。”

為了做這項(xiàng)測試，CloudFlare舉行了一場挑戰(zhàn)賽，在其Nginx服務(wù)器上設(shè)置了一個(gè)OpenSSL漏洞版本，讓挑戰(zhàn)者利用Heartbleed從服務(wù)器上竊取密鑰。在挑戰(zhàn)開始九小時(shí)以后，俄羅斯軟件工程師Fedor Indutny完成了任務(wù)，但是需要發(fā)送超過250萬個(gè)heartbeat請(qǐng)求。僅次于Indutny的是來自芬蘭的信息安全顧問Ilkka Mattila，但也需要發(fā)送十萬個(gè)請(qǐng)求。

Indutny隨后在其博客中發(fā)布了他利用Heartbleed漏洞的提取腳本，并指出，該漏洞不會(huì)立即產(chǎn)生嚴(yán)重后果。盡管該漏洞想被利用需要很長時(shí)間，CloudFlare還是根據(jù)該挑戰(zhàn)結(jié)果及時(shí)采取措施替換了管理用戶的SSL密鑰。

CloudFlare稱：“根據(jù)該報(bào)告的結(jié)果，我們的建議是，每個(gè)用戶都應(yīng)該重發(fā)或撤銷其密鑰。”

另外，Akamai公司為了保護(hù)其客戶免受Heartbleed漏洞威脅，于上周末撤銷了之前發(fā)布的補(bǔ)丁。

意識(shí)到Heartbleed漏洞嚴(yán)重性后，Cambridge的廠商發(fā)布了一個(gè)內(nèi)存分配工具，以防止SSL密鑰的泄露。但是，在上周日晚上的一篇博客中，Akamai的首席安全官(CSO)Andy Ellis表示，安全研究人員Willem Pinckaers與Akamai聯(lián)系并報(bào)告在其Heartbleed修復(fù)中有一個(gè)漏洞。

Ellis表示：“因此，我們已經(jīng)開始處理所有用戶的SSL密鑰/認(rèn)證，有一些認(rèn)證可以很快處理完，但是有一些認(rèn)證需要證書頒發(fā)機(jī)構(gòu)額外的認(rèn)證，可能耗時(shí)比較長。”