OpenSSL obsahuje kritickou zranitelnost Heartbleed

Byla objevena kritická zranitelnost v OpenSSL, v ohrožení jsou všichni uživatelé internetu.

Společnost Codenomicon objevila kritickou zranitelnost v OpenSSL heartbeat reguestu (odtud chyba krvácejícího srdce), který slouží k udržování spojení, když se nepřenáší žádná data, vizte RFC 6520. Tato závažná chyba, která se v OpenSSL nachází již dva roky, umožňuje útočníkovi číst obsah paměti serveru, a získat tak např. privátní klíč, který je v jeho paměti uložen.

Co je to heartbleed?

Tato zranitelnost je mnohem závažnější než zranitelnosti Beast nebo Crime, které se též nacházely v SSL, ale které bylo poměrně náročné zneužít. Zde je to snadné, a proto byla tato zranitelnost označena jako kritická. V zásadě lze s každým speciálním requestem získat až 64kB dat z operační paměti serveru. Za jak dlouho se útočník dostane ke skutečně citlivým informacím, závisí tak trochu i na štěstí a počtu reguestů. Základní informace jsou uvedeny zde a technické detaily tady.

Jak ověřit existenci heartbleed zranitelnosti?

Vzhledem k tomu, že OpenSSL používá odhadem kolem dvou třetin serverů na internetu, jsou v ohrožení všichni uživatelé, kteří se k těmto serverům přihlašují. Jestli se tento problém týká i vás resp. serverů, které navštěvujete, si můžete snadno ověřit pomocí online skeneru společnosti Qualys, který provádí komplexní test SSL, tedy nejen heartbleed zranitelnosti. Skener, který provádí jen test heartbleed zranitelnosti, je zde.

Které servery heartbleed zranitelnost obsahovaly, nelze zpětně zjistit

Bohužel se nedá nějakým jednoduchým způsobem zjistit, které servery donedávna používaly tyto zranitelné verze OpenSSL a společnosti nemají povinnost tuto informaci zveřejnit. A jestliže daná společnost provedla mezitím rekompilaci OpenSSL knihovny nebo upgrade na poslední verzi, tak už nezjistíte nic. Lze však předpokládat, že pokud na serveru běží OpenSSL v poslední verzi, tak tam ta zranitelnost nejspíš byla. Raději si proto nejdříve ověřte, jaká verze OpenSSL na serveru běží, než se k němu budete vůbec připojovat.

Preventivně si změňte heslo

Uživatelům je proto doporučeno, aby si preventivně změnili všechna svá hesla, která zadávali přes internet, neboť je prakticky nemožné zjistit, zda již náhodou nebylo dané zranitelnosti zneužito. Společnost provozující daný server o tom, že na její server byl veden útok, nemusí vůbec vědět, protože zneužití zranitelnosti nelze nijak detekovat. Zrovna teď bych si ale heslo neměnil, protože jestliže jste doposud nezaznamenali nějaký problém, tak s největší pravděpodobností server, ke kterému se hlásíte, nebyl cílem útoku. Ovšem může být cílem útoku právě teď, kdy se o této zranitelnosti všichni dozvěděli. Nyní již může útočník disponovat privátním klíčem a být schopen dešifrovat veškerou komunikaci.

Proveďte rekompilaci, upgrade a vygenerujte si nové klíče

Společnosti používající zranitelnou verzi OpenSSL by měly kromě upgradu na poslední verzi (v době psaní tohoto článku se jednalo o verzi 1.0.1g) nebo rekompilace s parametrem -DOPENSSL_NO_HEARTBEATS, provést i vygenerování nových klíčů a revokaci starého certifikátu.

Heartbleed zranitelnosti bylo nejspíš již roky zneužíváno

U.S. National Security Agency dle agentury Bloomberg o zranitelnosti Heartbleed věděla a zneužívala ji po celé dva roky k dešifrování komunikace, vizte článek NSA Said to Exploit Heartbleed Bug for Intelligence for Years.

Webové servery jsou nepřetržitě skenovány

Prakticky po celém světě probíhá skenování serverů, zda náhodou neobsahují Heartbleed zranitelnost. Díky volně dostupným on-line skenerům si prakticky kdokoliv může ověřit jaká verze OpenSSL na serveru běží, a zda obsahuje Heartbleed zranitelnost. Těžko říci, kdo skenování provádí, zda výzkumníci nebo útočníci.

Je možné skutečně zneužít Heartbleed zranitelnosti?

Ano, lze. Byť mnoho bezpečnostních expertů zpočátku tvrdilo, že této zranitelnosti nelze tak snadno zneužít, bylo toto tvrzení vyvráceno během několika následujících hodin a z různých zdrojů bylo potvrzeno, že s určitým úsilím lze skutečně získat privátní klíč. Jako příklad můžeme uvést společnost Cloudflare, které zveřejnila výzvu k získání jejich privátního klíče, což se zhruba po 9 hodinách od zveřejnění této výzvy povedlo.   

Je Heartbleed zranitelnost opravdu tak kritická?

Nechci kritičnost této zranitelnosti nijak snižovat, nicméně zneužitím Heartbleed zranitelnosti se útočník dostane pouze k aktuálnímu obsahu paměti, ve kterém se může nacházet privátní klíč a veškerá přenášená data mezi klientem a serverem. Pokud by chtěl útočník komunikaci mezi klientem a serverem dešifrovat, musel by buď získat přístup k síťové infrastruktuře, anebo by musel klienty přesměrovat na svůj falešný server, a to už nemůže udělat každý. Pokud jde o hesla uložená v paměti serveru, tak je třeba si uvědomit, že heslo nemusí jít v SSL kanálu vždy v otevřeném tvaru. Pokud je např. použita metoda challenge-response, tak na klientovi dojde k vytvoření hashe, který je pro každou relaci jiný. U některých služeb je navíc použita dvoufaktorová autentizace, což též snižuje možný dopad v případě zneužití této zranitelnosti.

Máte nějaké další doporučení? Napište.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Miroslav Čermák

    S používáním nejrůznějších on-line skenerů bych byl opatrný, protože pokud váš web danou zranitelnost obsahuje, může jí být tímto způsobem zneužito. Nikdy nevíte, kdo za daným on-line skenerem stojí, a zda útočníkům neslouží ke snadnému získání seznamu zranitelných webů.

    Docela by byl gól, kdyby se v nové verzi OpenSSL objevila nějaká ještě důmyslnější zranitelnost a tím, jak si ji teď všichni nainstalují, by se dostala úplně všude, i tam kde předtím nebyla.


K článku “OpenSSL obsahuje kritickou zranitelnost Heartbleed” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: