Последствия уязвимости Heartbleed в OpenSSL продолжают шириться уже две недели после раскрытия подробностей уязвимости. Одним из последних отзвуков этого события стало резкое увеличение числа отозванных SSL-сертификатов, после того, как владельцы сайтов и хостеры начали процесс замены уязвимых сертификатов.

Удостоверяющие центры и прочие организации занимаются поддержкой списков отзыва сертификатов, которые браузеры могут использовать для определения, был ли сертификат данного сайта отозван. Владельцы сайтов могут отзывать сертификаты по ряду причин, включая проблемы с безопасностью. Эти акции обычно проходят незамеченными, если в них задействованы не крупные сайты и не происходило каких-либо инцидентов, вызвавших необходимость замены сертификатов для большого числа сайтов.

Встречайте Heartbleed!

Большую долю этого роста (а число отзывов скакнуло от нескольких тысяч в день до более чем 70 тысяч в этом месяце) можно приписать CloudFlare, которая меняла все сертификаты сайтов, находящихся под ее управлением. Компания была одна из нескольких организаций, которые получили раннее предупреждение о баге в OpenSSL до того, как его разработчики раскрыли подробности.

«После того как мы обнаружили всю тяжесть бага и то, что он населяет Интернет уже два года, мы начали расследование, чтобы определить, подвергались ли риску наши закрытые ключи и ключи наших клиентов», — написал Ник Салливан из CloudFlare в своем блог-посте.

«Мы начали свое расследование с попыток определить, информацию какого рода мы можем извлечь посредством Heartbleed. Мы установили тестовый сервер на локальной машине и бомбардировали его атаками через Heartbleed, сохраняя блоки памяти, которые они возвращали. Мы сканировали эту память на предмет копий приватного ключа, и после интенсивного сканирования мы не смогли найти его следов», — продолжает Салливан.

Тогда CloudFlare бросила публичный вызов, попросив исследователей посмотреть, смогут ли они получить закрытый ключ с установленного компанией уязвимого сервера. Через несколько часов одному из них это удалось. Позже еще несколько человек выиграли вызов, также заполучив закрытый ключ.

«Есть въедливый вопрос — почему при том, что OpenSSL имеет функции очистки памяти, эти кусочки ключей можно найти? Мы продолжаем расследование, и, если баг будет найден, мы выпустим патч для OpenSSL», — написал Салливан.

«Чем больше HTTPS-трафика обслуживает сервер, тем более вероятно, что некоторые из промежуточных чисел окажутся в том фрагменте, откуда их может прочитать Heartbleed. К несчастью для нас, наш тестовый сервер был на локальной машине и не получал большого объема HTTPS-трафика. Это сделало для нас значительно менее вероятным обнаружение ключей. Еще кое-каким трюкам мы научились от победителей, которые эффективно находили ключи в памяти», — сообщил Салливан.

Имело место обсуждение того, возможно ли на практике извлечение закрытого ключа с целевого сервера, используя атаку Heartbleed, и Салливан сказал, что считает это выполнимым.

«Основываясь на этих открытиях, мы верим, что за пару часов целеустремленный злоумышленник может извлечь закрытый ключ из уязвимого сервера. Поскольку выделением временного ключевого материала занимается сам OpenSSL, это не специфическая функция NGINX, мы ожидаем, что эти атаки будут работать на различном серверном программном обеспечении, включая не веб-серверы, которые используют OpenSSL», — написал он.

Категории: Уязвимости