Wyjątkowo groźna luka w OpenSSL

Aż 65% serwerów w sieci jest narażonych na poważny atak i przechwycenie kluczy szyfrujących przez napastnika. Specjaliści sugerują sprawdzenie występowania podatności w serwerach webowych lub innych urządzeniach wykorzystujących OpenSSL i załatanie luki.

Przyczyną zagrożenia jest luka w bibliotece OpenSSL oznaczona jako CVE-2014-0160, która istnieje od grudnia 2011 r. i została załatana dopiero w najnowszej wersji oprogramowania. Podatność została wykryta przez Neela Mehta z Google Security oraz trzech analityków z firmy Codenomicon. Istnieje ona od grudnia 2011 r. i została załatana w wersji OpenSSL 1.0.1g udostępnionej 7 kwietnia 2014 r. Tego samego dnia upubliczniona została informacja o tym zagrożeniu. Na razie brak jest doniesień, by ktoś wykorzystał ten błąd do ataków na serwery.

Poważne zagrożenie

Błąd umożliwia odczytanie pamięci serwera i przechwycenie prywatnych kluczy używanych do uwierzytelnienia serwera www w technologii SSL. Ewentualny atak nie pozostawia śladów w logach, a zatem jego wykrycie jest trudne. Luka jest związana z obsługą heartbeat TLS i przez jej odkrywców została nazwana Heartbleed. Zagrożenie jest bardzo duże, ponieważ z bibliotek OpenSSL korzystają statystycznie dwa na trzy serwery w internecie (Apache, nginx, a także rozwiązania komercyjne), ewentualny atak mógłby objąć wiele maszyn. A oprócz serwerów internetowych z bibliotek OpenSSL korzystają również inne narzędzia: implementacje VPN (np. OpenVPN), serwery poczty internetowej, komunikatorów internetowych, usług komercyjnych, a także niektóre akceleratory SSL. Wśród systemów operacyjnych podatnych na atak wymieniane są: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 oraz OpenSUSE 12.2.

Akceleratory SSL

Niektóre akceleratory webowe (takie jak Citrix NetScaler) również korzystają z bibliotek OpenSSL. Nie są one jednak podatne na ten atak. Inaczej wygląda to w przypadku urządzeń firmy Cisco, która wydała już komunikat, przygotowano również sygnatury do wykrywania ataku. Na pewno podatne są niektóre telefony IP, serwer komunikacyjny TelePresence VCS oraz Cisco UCM. Swój serwer można przetestować za pomocą narzędzia SSL Test dostarczonego przez firmę Qualys.

W przypadku ataku kierowanego na serwer www można przejąć o wiele więcej danych niż tylko klucz prywatny i komunikację z użytkownikami. Natomiast jeśli między serwerem www a klientami znajduje się akcelerator SSL, to atak nie dotyczy oprogramowania serwera. Ponadto deszyfrowany ruch między akceleratorem SSL a serwerem może podlegać i zazwyczaj podlega inspekcji za pomocą systemów takich, jak IPS.

Urządzenia osadzone

Zagrożenie najbardziej dotknie użytkowników urządzeń osadzonych, które zawierają wbudowane oprogramowanie wykorzystujące podatne biblioteki. Dotyczy to również rozwiązań z firmowym oprogramowaniem, takich jak drukarki, moduły zdalnego dostępu, a nawet urządzenia UTM, routery czy zapory sieciowe, które wykorzystują konsolę webową do zarządzania. W takim przypadku użytkownicy najczęściej muszą oczekiwać na poprawki firmare'u udostępniane przez producenta.

Praktyczne rady

Specjaliści ds. bezpieczeństwa zalecają jak najszybszą aktualizację oprogramowania serwerów i urządzeń wykorzystujących funkcje OpenSSL. A jeśli aktualizacja nie jest możliwa, należy wyłączyć obsługę heartbeats. Samo usunięcie podatności nie zapewnia jednak bezpieczeństwa, gdyż jeśli serwis lub portal był celem ataku, to prawdopodobnie ktoś przejął klucz prywatny do certyfikatu SSL. Napastnik posiadający taki klucz może przeprowadzić atak pośrednictwa (man-in-the-middle), a także deszyfrować komunikację przechwyconą innymi drogami. Atak umożliwia również przejęcie innych danych, w tym haseł administracyjnych lub danych użytkowników.

Jeśli firma podejrzewa, że mogła paść celem takiego ataku, powinna po aktualizacji oprogramowania niezwłocznie:

  • zmienić hasła administracyjne i hasła wszystkich użytkowników;
  • przeprowadzić audyt spójności oprogramowania;
  • skasować tokeny sesji na serwerze;
  • rozważyć wymianę wszystkich certyfikatów SSL;
  • przeprowadzić inwentaryzację informacji, które mogły być tą drogą wykradzione, i ustalić ewentualny rozmiar szkód.

Więcej informacji można znaleźć na stronie heartbleed.com.


TOP 200