Администраторы сайтов и поставщики программного обеспечения спешат закрыть уязвимость Heartbleed в OpenSSL, которая позволяет злоумышленнику извлекать содержимое памяти по 64 Кб за запрос. Атака позволяет красть приватные ключи, имена и пароли пользователей, а также другие важные данные. Этому прямо сейчас подвержены некоторые крупные сайты, включая Yahoo! Mail и другие.

Уязвимость присутствует в OpenSSL 1.0.1f и более старых версиях. Участники проекта выпустили патч для этой уязвимости в понедельник. Однако теперь, когда детали этой уязвимости стали широко известны, исследователи начали копаться в проблеме, и были выпущены различные  инструменты для тестирования различных сайтов на предмет наличия уязвимости. Некоторые крупные сайты, включая Yahoo! Mail, Lastpass, OpenSSL и даже сайт ФБР, позволяли сливать определенную информацию посредством бага. Кроме того, на Github выложен подтверждающий концепцию эксплойт для этой уязвимости.

Уязвимость кроется в способе, которым OpenSSL работает с расширением Heartbeat в протоколе TLS.

«Баг Heartbleed позволяет кому угодно в Интернете читать память систем, защищенных уязвимыми версиями OpenSSL. Это компрометирует секретные ключи, использующиеся для идентификации провайдеров и шифрования трафика, имена и пароли пользователей и текущий контент. Это позволяет злоумышленнику перехватывать обмен данными, красть данные прямо из сервисов и у пользователей и подменять собой сервисы и пользователей», — сказано в описании уязвимости, составленном компанией Codenomicon.

OpenSSL, возможно, наиболее широко распространенная библиотека SSL и содержится в множестве приложений, включая ряд дистрибутивов Linux. Red Hat и Ubuntu уже выпустили патчи для этой уязвимости.

Но наибольшая проблема состоит в том, что множество сертификатов SSL могут быть уже скомпрометированы, так как секретный ключ, который защищает данный сертификат, может быть украден атакой через эту уязвимость. Процесс отзыва и перевыпуска этих сертификатов может занять длительный период времени, в зависимости от того, сколько организаций обнаружат уязвимость в своих сайтах и как быстро они отреагируют.

«Это кошмарная уязвимость, так как потенциально позволяет утечь вашему долговременному секретному ключу — тому, который соответствует сертификату вашего сервера. Хуже того, нет способа определить, была ли она использована. Это значит, что благоразумнее всего будет отозвать ваш сертификат и получить новый. Увидим, как много людей сделают это», — сказал криптограф Мэтью Грин, профессор университета Джона Хопкинса.

Похоже, что уязвимость в OpenSSL появилась года два назад. Тестовый сайт, который позволяет проверять сайты на предмет уязвимости, работает с понедельника.

Иван Ристик, директор исследований защищенности приложений в Qualys, сообщил, что уязвимость Heartbleed потенциально весьма опасна для многих организаций из-за легкости ее эксплуатации и тяжести последствий успешной атаки.

«Эту уязвимость очень легко использовать. Совсем несложно сделать эксплойт самому (начав с применения diff на OpenSSL), а также есть различные инструменты, которые можно в считаные минуты скачать и начать использовать», — сказал Ристик.

«Согласно статистике SSL Pulse, около 32% серверов из выборки поддерживают TLS 1.2. Скорее всего, большинство из них содержат OpenSSL, и они уязвимы. Это очень большое число серверов. Так как уязвимость легко эксплуатируется, мы уже наблюдаем множество атак. Серверы, которые не имеют прямой секретности, являются наиболее уязвимыми, так как серьезный злоумышленник, имеющий запись шифрованного трафика сайта, сможет легко заполучить приватный ключ сайта и использовать его для последующей расшифровки трафика», — пояснил Ристик.

Категории: Главное, Уязвимости