新發現的 OpenSSL 漏洞帶來潛在的營運中斷風險。
以下是有關本週揭露的 OpenSSL 漏洞您該知道的資訊以及該如何因應
本週揭露的 OpenSSL 漏洞目前仍有許多未知細節有待 11 月 1 日正式公布,不過目前已出現一些雜音和疑慮,同時也是大家預做準備等待進一步細節公布的時機。
OpenSSL 是一個開放原始碼加密功能函式庫,廣泛應用於各種商業及內部應用程式,提供加密以及其他安全與隱私功能。不論是部署在企業內、雲端、軟體服務 (SaaS)、端點、伺服器、IoT 或 OT 環境的應用程式都有它的蹤影。所以,OpenSSL 一旦出現嚴重漏洞,其潛在的營運中斷風險相當高。
回顧2014年,我們看到一大堆Adobe Acrobat、JAVA、Windows等軟體漏洞的出現。源源不斷的披露消息已經嚇不到任何人了。
令人驚訝的是兩個非常重要且廣泛的漏洞:Heartbleed心淌血漏洞和 Shellshock。
Heartbleed心淌血漏洞 是普遍的開放原始碼安全程式庫OpenSSL內的漏洞。如果你沒聽說過OpenSSL也不用擔心,一般使用者通常不會直接面對它。但它的確提供安全層給大部分的網站。
這個漏洞讓攻擊者可以存取OpenSSL伺服器儲存在記憶體內的資料。此層級的存取讓攻擊者可以用最小的努力就能危害連到伺服器的連線。
Shellshock是一個幾乎無處不在的命令列解譯器 – bash的漏洞。也沒有聽過bash?即使你自己沒有使用,但它可能存在於你正在使用或連上的系統或設備內。
這漏洞讓攻擊者可以輕易地在你的系統上執行任意指令。更糟的是,這攻擊只需要在請求中加入少少的幾個額外字元及很少的技術知識。 繼續閱讀
根據資安研究人員及新聞媒體指出,一個新發現的漏洞很可能從 90 年代就已延續至今。這個俗稱為 FREAK (Factoring RSA Export Keys) 的漏洞會導致安全連線降低加密強度,因而讓網路犯罪集團更容易解開加密的資訊。
從1990 年代存在至今的漏洞
此漏洞始於 1990 年代。當時,美國政府規定,凡是要出口的軟體「其使用的加密金鑰長度皆不得超過 512 位元」。根據研究人員的說法,這樣的加密強度在 90 年代或許足夠,但今日,一個 512 位元的 RSA 金鑰大約只要 7 小時就能破解,而且雲端上提供了龐大的運算效能,花個 100 美元就能買到。
儘管這項禁令在 90 年代後期即已解除,但有些 TLS 和 SSL 通訊協定軟體仍然支援這類所謂「出口等級」的加密模式。
FREAK 問題曝光
FREAK 漏洞是由法國巴黎 INRIA 機構的研究員 Karthikeyan Bhargavan 以及 miTLS (TLS 參考實作) 團隊所發現。他們發現 OpenSSL (1.0.1k 以前的版本) 與 Apple TLS/SSL 的用戶端都可能遭到中間人 (MITM) 攻擊。一旦含有漏洞的用戶端與伺服器之間的 HTTPS 連線遭到駭客從中攔截,駭客就能強迫連線採用老舊的出口等級加密方式。
如此一來,從中「竊聽」的駭客,就能更輕鬆地解開攔截到的資訊。
Apple 的 SecureTransport 軟體元件廣泛運用在 iOS 和 OS X 的應用程式當中,包括 iPhone、iPad 和 Mac 上隨附的 Safari 瀏覽器。至於 Android 的 OpenSSL 軟體元件也廣泛運用在瀏覽器及其他應用程式當中。就趨勢科技了解,只有含有 CVE-2015-0204 漏洞的 OpenSSL 版本才會遭到這項攻擊。 繼續閱讀
只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了 ?
錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。
Heartbleed漏洞,這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條,這是理所當然的,因為其對消費者和企業的資訊安全都帶來巨大的風險。
因為它主要的涵蓋範圍可能會讓你認為,只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了。錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險,這是因為可能受到此漏洞影響的人數,因為受影響網頁伺服器所會暴露的敏感資料(可能包括了密碼和session cookie)。即便是第一波的修補完成,剩餘的風險還是相當巨大。
OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到,所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本,而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。 繼續閱讀
趨勢科技掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。
前不久,OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞,此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲,它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時,駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB),而且完全不留任何痕跡。
Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的,一個由Github所進行的測試顯示,在前10,000名網站(根據Alexa排名)中,有600個受此弱點影響。在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。
延伸此一安全漏洞的涵蓋率帶出另一個問題,「行動設備也會受到影響嗎?」簡單的說:是的。
行動應用程式,不管我們喜不喜歡,也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到,有相當大數量的網域受到此漏洞影響。
假如你只是要進行應用程式內購買的動作,所以你需要輸入信用卡資訊。你做完之後,行動應用程式就會為你完成交易。當你拿到了你要的遊戲,你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。就是這麼地簡單。
那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便你的信用卡不會被影響到。例如,你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。
假設你決定這樣做,並且按下「確定」。你的應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。 繼續閱讀