2014年4月7日,来自Codenomicon和谷歌安全部门的研究人员发现OpenSSL的源代码中存在一个漏洞,其可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被称为“OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。而2015年7月9日,OpenSSL再度爆发高危漏洞,CVE代号为:CVE-2015-1793。(PS:2015年1月8日OpenSSL连续爆发8个高危漏洞)
OpenSSL再现高危漏洞(图片来自cnbeta)
据了解,该漏洞的成因是OpenSSL在证书验证过程中,第一次连接失败时会尝试寻找一个替代证书,而攻击者可以利用这一点,通过一个中级证书去冒充证书颁发机构来绕过OpenSSL的证书验证。整个问题导致了可以实现中间人攻击,并且可能导致应用程序(如浏览器)把不受信任或者无效的证书标记显示为信任有效,危害十分严重。该漏洞受影响版本为:1.0.2c, 1.0.2b, 1.0.1n 和 1.0.1o。
那么什么是中间人攻击呢?简单来说,它是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到今天还具有极大的扩展空间。
OpenSSL高危漏洞分析(图片来自安恒信息)
此高危漏洞爆发后,已有安全厂商立即行动起来——针对政府、金融、电子商务及重要在线系统,抽样了500万台主机进行分析,发现问题非常严重。通过本次抽样调查发现,使用OpenSSL的主机共计38505台,其中受该高危漏洞影响的主机共12498台,占OpenSSL使用总数的32.5%,而受影响最大的地区为广东、北京、香港、浙江和中国台湾。
针对此漏洞,安全专家建议使用OpenSSL的用户尽快升级至最新版本!(点此升级)
