漏洞攻擊 - 資安趨勢部落格

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

2014 年 04 月 14 日2014 年 04 月 17 日趨勢科技 TrendMicro

趨勢科技掃描了大約390,000個來自Google Play的應用程式，發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式，39個和線上支付有關，10個和網路購物有關。

前不久，OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞，此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲，它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時，駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB)，而且完全不留任何痕跡。

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的，一個由Github所進行的測試顯示，在前10,000名網站（根據Alexa排名）中，有600個受此弱點影響。在掃描的時候，受影響的網站包括了雅虎、Flickr、OKCupid、Rolling Stone和Ars Technica。

延伸此一安全漏洞的涵蓋率帶出另一個問題，「行動設備也會受到影響嗎？」簡單的說：是的。

行動應用程式，不管我們喜不喜歡，也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到，有相當大數量的網域受到此漏洞影響。

假如你只是要進行應用程式內購買的動作，所以你需要輸入信用卡資訊。你做完之後，行動應用程式就會為你完成交易。當你拿到了你要的遊戲，你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上，並可能在那待上一段長度不等的時間。因此，網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料（如信用卡號碼）。就是這麼地簡單。

那如果應用程式不提供應用程式內購買呢？他們就安全於此漏洞嗎？也不是，只要它會連到網路伺服器，就還是會被此弱點影響，即便你的信用卡不會被影響到。例如，你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。

假設你決定這樣做，並且按下「確定」。你的應用程式有可能會自己去打開網頁，透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響，但可能性是存在的，因此也就會有風險。繼續閱讀

Heartbleed 漏洞常見問題集

2014 年 04 月 11 日2018 年 09 月 08 日趨勢科技 TrendMicro

Heartbleed漏洞讓 5％的前一百萬大網站心在淌血!新聞裡出現了一個讓許多人都很擔心的新安全問題。就是所謂的「Heartbleed漏洞。」引起了許多的混亂，尤其是關於大多數人應該關心什麼和該怎麼做。為了幫助你了解發生了什麼事而不要驚慌，這裡有一份常見問題的答案：

什麼是Heartbleed漏洞？

Heartbleed漏洞是個會影響 SSL的問題，SSL是用來保護你在網路上資料的技術。你如果要進行網路購物或在網站上輸入敏感資料就可能對SSL很熟悉，會看到一個「鎖頭」告訴你你的資料受到保護。

Heartbleed臭蟲，存在於所有實作 Heartbeat 擴充程式的 OpenSSL。當攻擊一個有漏洞的伺服器時，可以讓攻擊者一次讀取部分（最多64KB）的電腦記憶體而不會留下任何痕跡。

這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼（在很多情況下是以明文的形式）、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。

SSL有什麼問題？

這裡的問題是，有漏洞會影響到一些使用SSL的網站。這漏洞可能讓人有機會去存取SSL所保護的資料。

這對我來說代表什麼？

這代表你所認為會透過SSL保護的資料可能並不像你（或任何人）想得那麼安全。這代表像密碼、信用卡資料或其他個人資料等敏感資訊可能會在你不知情下洩漏給其他人。

我該如何解決這問題？

沒有辦法。在這情況裡，有問題的並不是你的電腦或設備。這是網站所必須處理的問題，修補好網站的SSL。

我可以分辨一個網站是否有這問題嗎？

不幸的是，沒有辦法。這只有運行此網站的人才能確認。

可以做些什麼來保護自己？

雖然你無法保護自己免於此特定問題，但你還是可以採取一些措施來保護自己免於此問題所可能帶來的影響。你可以進行下列步驟：

確保你在所有的系統上運行最新的安全軟體。
注意任何出現在你網路帳號和金融帳戶的可疑活動。
當網站建議你變更密碼時，馬上變更。

如果我有受到影響，應該怎麼做？

受影響的使用者必須升級到OpenSSL版本1.0.1g，它已經修補了Heartbleed臭蟲。

如果不能進行升級，你就必須重新編譯應用程式來關閉Heartbeat擴充程式。透過使用 -DOPENSSL_NO_HEARTBEATS旗標完成。

SSL憑證也必須撤銷以及換新。安裝在受影響版本OpenSSL的憑證私鑰很可能已經被外洩了。因為沒辦法知道哪些現有憑證受到影響，所以必須產生新的SSL憑證。

使用者也要考慮變更網路帳號的密碼，因為Heartbleed漏洞會暴露像使用者名稱和密碼等敏感資料。為了避免帳號受到危害，當使用者被通知重設密碼時就要盡快進行。他們還應該監控帳戶內任何可疑的活動，尤其是跟財務相關的帳戶。

趨勢科技解決方案

趨勢科技Deep Security客戶應該升級到DSRU-14-009，並指定下列規則：

1006010 – Restrict OpenSSL TLS/DTLS Heartbeat Request
1006011 – OpenSSL TLS/DTLS Heartbeat Information Disclosure Vulnerability
1006012 – Identified Suspicious OpenSSL TLS/DTLS Heartbeat Request

同時也能夠透過對網路活動的能見度和控制能力來察覺試圖對此漏洞進行的攻擊Deep Discovery可以透過規則CVE-2014-0160-SSL_HEARTBEAT_EXPLOIT來監控網頁伺服器和檢查SSL/TLS相關流量。一旦發現，Deep Discovery會尋找Heartbeat訊息回應，並檢查是否有漏洞攻擊的特徵出現，特別是連續回應數目、回應資料數量等等。這讓它可以偵測：對監控中伺服器的攻擊，在監控網路試圖去攻擊Heartbleed漏洞。這新的Deep Discovery規則已經發佈且會自動應用，因為是Deep Discovery自動更新程序的一部分。

客戶端應用程式也可能受到Heartbleed漏洞影響。如果它們連到惡意伺服器，Heartbleed漏洞就可能被用來讀取客戶端系統的記憶體。在4月11日，趨勢科技發佈以下規則以保護使用Deep Security和IDF的使用者防護這個漏洞攻擊：

1006016 – OpenSSL TLS/DTLS Heartbeat Message Information Disclosure Vulnerability
1006017 – Restrict OpenSSL TLS/DTLS Heartbeat Message

＠原文出處：Don’t have heartburn over the Heartbleed Vulnerability

檢測工具:

想要線上購物或進行網路交易又怕怕的嗎?輸入網址,檢測網站是否有相關漏洞,到這邊安裝檢測工具

Heartbleed漏洞讓 5％的前一百萬大網站心在淌血!

2014 年 04 月 11 日2014 年 04 月 17 日趨勢科技 TrendMicro

我們嘗試著評估Heartbleed漏洞的影響，根據Alexa排名的前1,000,000名網域來掃描幾個特定國家的頂級網域（TLD）。接著挑出有使用SSL的網站，進一步地分類成「受影響」或「安全」。我們從收集到的資料裡發現了一些有意思的事情。

到目前為止，我們看到了總共大約5％的網站受到CVE-2014-0160的影響。頂級網域內有最高比例受影響網站的是.KR和.JP。有意思的是在這份列表裡，.GOV在頂級網域中排到了第五。

圖一：每個國家內受影響網站的數據

（點擊這裡或上圖可以看大圖）

繼續閱讀

為什麼 Java 6 讓人對2014年4月之後的 Windows XP 感到顫慄?

2014 年 03 月 11 日2014 年 04 月 02 日趨勢科技 TrendMicro

當 Windows XP 的支援終止，Java 6和 Windows XP 加起來每年會出現160個無修補的漏洞

作者：Christopher Budd（全球威脅交流）

我在2013年9月說過，關於Java 6的安全形勢已經變得更壞。而趨勢科技最近所發表的2013年威脅綜合報告裡，有一項是我們觀察目前針對Java漏洞攻擊的狀況。從報告裡可以證實，在2013年底，Java 6的安全形勢確實變得更糟。如果將關於Java 6的攻擊狀況放到Windows XP身上，當它在2014年4月後停止支援，可以遇見在2014年會出現相當嚴峻的形勢。趨勢科技的2013年威脅綜合報告裡顯示，當Windows XP的支援終止，Java 6和Windows XP加起來每年會出現160個無修補的漏洞，這讓人感覺到恐怖風暴來臨前的烏雲密佈。

首先，2013年威脅綜合報告裡提到什麼樣目前的Java 6狀況？趨勢科技的分析顯示，2013年針對Java的攻擊佔了所有網頁攻擊的91％。這並不令人驚訝，因為整個2013年影響所有版本Java的零時差漏洞很多。趨勢科技的分析還指出，到了2013年底，針對Java的所有攻擊裡，有50％使用兩個Java 6上不曾被修補的漏洞：CVE-2013-2465（30％）和CVE-2013-2463（20％）。這兩個漏洞都比較新，是在甲骨文公司的2013年6月季度修補程式發佈後才比較為人所知，攻擊者針對它們的攻擊在2013年8月才出現。這些漏洞在這樣短的時間內就佔據了攻擊「市場」的50％，這事實也告訴了我們，攻擊者知道攻擊永遠不會被修補的漏洞是多麼有價值。

有充分的理由讓攻擊者有這種的轉變。趨勢科技在報告裡指出，當對Java 6的支援終止後，有76％的組織還在使用它。而從那之後，這數目是否降低也是很令人懷疑。而無修補程式的Java 6漏洞數量只會越來越多，因為它們不會被修補了。到了2013年第三季底，趨勢科技注意到已經有31個未修補的Java 6漏洞。包括那兩個甲骨文公司的修補程式發佈，因此我們可以大致推估出，每年大約會有60個未修補的Java 6漏洞出現。

這些告訴了我們在Windows XP四月終止支援後會發生什麼事。首先，Windows XP在2013年底時仍佔所有使用中Windows系統的30％。就跟Java 6一樣，Windows在支援結束後仍會被廣泛的使用，開始累積未修補的漏洞。我們可以猜一下，當Windows XP結束支援，有多少漏洞會被發現而且不會被修補，就跟Java 6和CVE- 2013 -2465及CVE -2013- 2463漏洞一樣。

為了做出預測，我在2013年分析了微軟安全性公告資料內的Windows漏洞。我看到有104個安全漏洞影響Windows XP。其中88個也會影響Windows Vista和/或Windows 7（我沒算入Windows 8）。換句話說，如果Windows XP在2013年就已經停止支援，我們在微軟自己的安全性公告裡就會看到有88個未修補的漏洞。這還不包括其他由獨立研究人員所發現的漏洞。如果我們估計獨立研究人員每月會發現一個漏洞（非常保守的），那麼很合理的，一年推估會有約100個未修補的漏洞出現在Windows XP上。不是每個漏洞都會引來攻擊，但每年100個也是極大的漏洞數量了。

潛在目標的數量太大了。Windows XP可能還會佔所有連網系統的20％以上好一段時間。而這情況在某些產業會更加嚴重。據估計，有95％的提款機還在運行Windows XP，而且並不急於改變這狀況。我在微軟的同事Tim Rains指出：「我已經和一些因為某些原因而將不會在4月8日前完全自Windows XP轉移的客戶談過。有些客戶甚至說，直到硬體支撐不下去前，他們不會從Windows XP轉移」。有大量的未修補漏洞，加上可能被影響的大量潛在目標，這是相當可怕的一件事。

考量到這一切，加上我們在Java 6上所看到的經驗，只要一旦出現，攻擊者將會積極地攻擊Windows XP上的未修補漏洞。加上有許多Windows XP電腦上都還安裝Java 6，這些系統很容易就被Java 6和Windows XP所加起來的未修補漏洞影響。根據我的計算，這加起來是大約每年160個未修補的漏洞。

趨勢科技的2014年預測裡提到，攻擊未修補漏洞會是之後幾年的一大趨勢。

＠原文出處：Why Java 6 Gives Me the Jitters about Windows XP in 2014: 160 Unpatched Vulnerabilities Combined per Year