Что Вы должны знать о Heartbleed| NETSCOUT

Что Вы должны знать о Heartbleed

Поставщики и администраторы участка изо всех сил стараются закрыть зияющее отверстие, открытое Heartbleed, удаленно эксплуатируемой программной ошибкой в OpenSSL шифровальной библиотеки, широко используемой для проведения сессий TLS. Но Heartbleed не просто воздействует на веб-серверы. Учитывая распространяющееся использование OpenSSL в широком спектре сетевых продуктов и двухлетнего существования этой ошибки выполнения TLS, площадь нападения Heartbleed и ее потенциальное воздействие являются очень существенными.
 
Что такое Heartbleed?
Heartbleed - это так называемая уязвимость, недавно обнаруженная в безопасности траспортного уровня (TLS) при пересылке периодического контрольного сообщения, находящаяся в OpenSSL. Когда сервер TLS, используя уязвимую версию OpenSSL (от 1.0.1 до 1.0.1f) получает сообщение расширения периодического контрольного сообщения, которое было обработано, чтобы вызвать перегрузку чтения буфера, сервер отвечает до 64 КБ случайным содержанием памяти.
 
Согласно CVE-2014-0160, ответы периодического контрольного сообщения, как наблюдалось, содержали уязвимые данные, включая секретные ключи сертификата сервера, сеансовые ключи TLS, пользовательские логины/пароли и содержания сообщений. Нападавший мог послать много запросов периодического контрольного сообщения, чтобы собрать существенную часть памяти сервера, не поднимая подозрения. Запрос зашифрован и не зарегистрирован OpenSSL. Однако, для IPS может быть возможно обнаружить/блокировать чрезмерно частые и длинные ответы на периодические контрольные сообщения TLS.
 
Больше информации об ошибке Heartbleed, затронутых версиях OpenSSL и устранениях ошибки может быть найдено здесь:
 
 
Почему меня должен волновать Heartbleed?
Ущерб, потенциально нанесенный Heartbleed, обширен, частично потому что серверы и клиенты TLS обрабатывают довольно много секретной информации с потенциально длительной полезностью для атакующих.
 
Например, если Heartbleed использовались, чтобы собрать первичный ключевой материал, связанный с сертификатом сервера X.509, то этому сертификату больше нельзя доверять установление подлинности сервера. Возобновление сертификата не смягчает этот риск – сертификат должен быть отменен, переиздан и повторно установлен.
 
Если Heartbleed использовались, чтобы собрать административные пароли или пользовательские учетные данные, посланные по TLS-зашифрованной сессии, то те украденные учетные данные могли бы использоваться, чтобы поставить под угрозу пользовательские учетные записи и связанные с ними профили и хранившиеся данные. Если Heartbleed использовались, чтобы собрать сеансовые ключи TLS, то те ключи могли бы использоваться, чтобы расшифровать захваченный трафик сессии в любое время. И так далее.
 
Кроме того, ошибка Heartbleed была в кодексе OpenSSL в течение приблизительно двух лет теперь, создавая большое удобное время для прошлой эксплуатации. Сейчас разработчики могут предпринять шаги, чтобы устранить ошибку, либо обновляя OpenSSL, либо повторно собирая затронутый кодекс с выбором конфигурации -DNO_OPENSSL_HEARTBEATS. Однако, ничто не может быть сделано теперь, чтобы ретроактивно идентифицировать ранее собранные данные. Вместо этого мы, возможно, должны предположить, что использование уязвимых версий OpenSSL, вероятно, эксплуатировалось кем-то, где-нибудь.
 
Почему? Согласно http://www.heartbleed.com, распространяющиеся веб-серверы c открытым исходным кодом, как Apache и nginx используют уязвимые версии OpenSSL; вместе, это программное обеспечение теперь работает на более 66% активных интернет-вебсайтов. Кроме того, OpenSSL используется многими серверами электронной почты SMTP/POP/IMAP, портами SSL VPN и сетевыми приборами, включая маршрутизаторы WLAN, точки доступа, контроллеры и связанную с ними инфраструктуру.
 
Как Heartbleed мог бы воздействовать на безопасность моей сети WLAN? 
Для начала, продукты WLAN, которые управляемы через HTTPS, могут быть уязвимыми для Heartbleed. Это, вероятно, включает множество беспроводных маршрутизаторов жилого комплекса, которыми управляют через интерфейсы сети, защищенные через OpenSSL. Это может также включать отдаленно управляемые точки доступа и контроллеры WLAN, которые используют библиотеки OpenSSL, чтобы обеспечить безопасность административным интерфейсам или встроенным порталам доступа гостя. Поэтому следите за уведомлениями безопасности и обновлениями аппаратно-программного обеспечения, выпускаемыми Вашими продавцами продукта WLAN, и предпринимайте шаги, чтобы минимизировать Ваш риск эксплуатации ошибки, например, отключение функции удаленного управления WLAN или применение ACL.
 
Кроме того, сертификаты сервера X.509 и клиента, созданные используя OpenSSL и используемые установления подлинности WPA2-Enterprise 802.1X, возможно, должны быть отменены и переизданы. Обратите внимание на систему выдачи сертификатов или сервис, используемый для этого, чтобы оценить уязвимость к Heartbleed, и также любые уязвимые системы, где эти сертификаты, возможно, использовались наряду с секретным ключом сертификата.
 
Кроме того, поскольку уязвимые устройства сети идентифицированы, рассмотрите учетные данные и параметры настройки, которые, возможно, были собраны в прошлом и предпримите шаги, чтобы устранить будущее неправильное употребление этой информации. Например, уязвимая точка доступа или контроллер WLAN мог также пропустить другие административные логины/пароли или детали конфигурации, сохраненные в памяти, такие как PSK, используемые для установления подлинности WPA2-Personal.
 
До той степени, что Ваша организация развивает программное обеспечение, которое использует библиотеку OpenSSL, быстро модернизируйте версию OpenSSL до версии без ошибки и/или соберите периодические контрольные сообщения TLS как описано выше. Теперь распространяются инструменты, чтобы протестировать Ваш собственный кодекс/сервер на эту уязвимость к Heartbleed (см. http://www.heartbleed.com).
 
Наконец, усильте свою безопасность и системы наблюдения для мониторинга трафика, не только необычного трафика TLS или длинных периодических контрольных сообщений TLS, но и необычных логинов администраторов или пользователей или другого поведения, которое могло бы сигнализировать об использовании ранее собранной информации. Короче говоря, поместите себя и Вашу сеть в режим высокой тревоги, пока пыль не уляжется и не станет известно больше деталей о возможных воздействиях и последствиях.

 

 
 
Powered By OneLink