Heartbleed漏洞讓 5% 的前一百萬大網站心在淌血!

我們嘗試著評估Heartbleed漏洞的影響,根據Alexa排名的前1,000,000名網域來掃描幾個特定國家的頂級網域(TLD)。接著挑出有使用SSL的網站,進一步地分類成「受影響」或「安全」。我們從收集到的資料裡發現了一些有意思的事情。

Heartbleed

到目前為止,我們看到了總共大約5%的網站受到CVE-2014-0160的影響。頂級網域內有最高比例受影響網站的是.KR和.JP。有意思的是在這份列表裡,.GOV在頂級網域中排到了第五。

圖一:每個國家內受影響網站的數據

(點擊這裡或上圖可以看大圖)

在另一方面,我們看到了.FR和.IN頂級網域有著明顯較少比例的受影響網站。我們想出了一些可能的理論。也許他們還沒有更新到有漏洞的OpenSSL版本。他們也可能馬上修補了這個漏洞。另一個可能的原因是,這些國家中有較少的伺服器使用最新版本的Linux(因而使用了舊版本的OpenSSL而沒有此漏洞)。

趨勢科技將會在幾天內重新掃描選定的頂級網域以監視可能的變化。在此同時,我們建議網站管理員更新OpenSSL版本來保護他們的使用者。

@原文出處:Heartbleed Vulnerability Affects 5% of Select Top Level Domains from Top 1M 作者:Maxim Goncharov(資深威脅研究員)

 

趨勢科技解決方案

趨勢科技Deep Security客戶應該升級到DSRU-14-009,並指定下列規則:

 

  • 1006010 – Restrict OpenSSL TLS/DTLS Heartbeat Request
  • 1006011 – OpenSSL TLS/DTLS Heartbeat Information Disclosure Vulnerability
  • 1006012 – Identified Suspicious OpenSSL TLS/DTLS Heartbeat Request

 

同時也能夠透過對網路活動的能見度和控制能力來察覺試圖對此漏洞進行的攻擊Deep Discovery可以透過規則CVE-2014-0160-SSL_HEARTBEAT_EXPLOIT來監控網頁伺服器和檢查SSL/TLS相關流量。一旦發現,Deep Discovery會尋找Heartbeat訊息回應,並檢查是否有漏洞攻擊的特徵出現,特別是連續回應數目、回應資料數量等等。這讓它可以偵測:對監控中伺服器的攻擊,在監控網路試圖去攻擊Heartbleed漏洞。這新的Deep Discovery規則已經發佈且會自動應用,因為是Deep Discovery自動更新程序的一部分。

客戶端應用程式也可能受到Heartbleed漏洞影響。如果它們連到惡意伺服器,Heartbleed漏洞就可能被用來讀取客戶端系統的記憶體。在4月11日,趨勢科技發佈以下規則以保護使用Deep Security和IDF的使用者防護這個漏洞攻擊:

 

  • 1006016 – OpenSSL TLS/DTLS Heartbeat Message Information Disclosure Vulnerability
  • 1006017 – Restrict OpenSSL TLS/DTLS Heartbeat Message