Уязвимость в OpenSSL, наделавшая много шума в масштабах всей отрасли и, кстати, первой получившая собственный бренд и логотип, надолго врезалась в память всех ИТ-администраторов мира. Брешь приобрела бешеную популярность в ИБ-среде, профессионалы наперебой кинулись решать проблему, но, несмотря на это, спустя полтора года в Интернете имеется более 200 тыс. уязвимых устройств.

Уязвимость крылась в способе, которым OpenSSL работает с расширением Heartbeat в протоколе TLS. Баг Heartbleed позволяет читать память систем, защищенных уязвимыми версиями OpenSSL. Это компрометирует секретные ключи, использующиеся для идентификации провайдеров и шифрования трафика, а также имена и пароли пользователей и текущий контент.

Ранее эксперты уже отмечали снижение темпов латания уязвимых систем, притом что патчи уже давно доступны. Примерно год спустя после публикации информации о Heartbleed многие компании так и не приняли мер против нее. Даже те, кто обновил уязвимые системы, в большинстве случаев сделали это не в связи с потребностью залатать критическую уязвимость, а всего лишь из-за истечения срока действия скомпрометированных сертификатов — именно это стало основной причиной перевыпуска 65 тыс. цифровых сертификатов, хотя по-хорошему организации должны были заменить все сертификаты и SSL-ключи, чтобы не допустить дальнейшей эксплуатации Heartbleed.

Теперь, полтора года спустя, исследователь Грэм Клули (Graham Cluley) приводит удручающую статистику. Он ссылается на твит основателя компании Shogan, предлагающей своеобразный поисковик для Интернета вещей, который ищет не слова, а технические характеристики устройств, подключенных к Сети, будь то сервер, веб-камера, видеоняня, маршрутизатор, светофор или система АСУ ТП. По данным поиска Shodan составила карту уязвимых устройств, из которой следует, что в США имеется более 57 тыс. уязвимых систем, второе место по этому показателю занимает Германия с 21 тыс. устройств, за ней следует Китай — там обнаружено более 11 тыс. потенциально подверженных атакам устройств. Наибольшая степень компрометации наблюдается как раз в сервисах HTTPS — более 174 тыс.

Клули уверен в том, что какая-то часть устройств, подключенных к Интернету, навсегда останется открытой для эксплуатации Heartbleed. Такая система, как Shodan, может помочь специалистам определить, например, сервера, использующие уязвимые версии Apache, или устройства, которые видны в Сети, но не должны выходить в онлайн.

Таким образом, некоторым производителям и ИБ-специалистам все еще предстоит серьезная работа по искоренению Heartbleed.

Категории: Главное, Уязвимости