HeartBleed心脏出血漏洞的影响范围还在继续扩大,上周人们以为Heartbleed仅仅是网站web服务器的噩梦,但是随着时间的推移,Heartbleed对企业内网和数据安全的威胁才真正露出水面,造成的损失比web服务更大,而修复更加困难和漫长。
据Ars报道,近日研究者已经完成验证攻击,并多次成功从运行OpenVPN的VPN服务里提取到加密私钥,这意味着Heartbleed漏洞会影响运行OpenVPN的VPN供应商。
OpenVPN是一种开源的VPN软件,其默认加密库就是OpenSSL。负责维护OpenVPN的开发者此前曾警告过OpenVPN会话中的私钥会受到心脏出血漏洞影响。但是直到上周三,这种说法才被验证,一家瑞典VPN服务的管理员Fredrik Strömberg在一台测试服务器上演示了Heartbleed攻击。
Strömberg指出,从 OpenVPN服务器上窃取私钥要比从Web服务器上窃取私钥难度更大,因为OpenVPN流量封装在OpenVPN特定容器的加密HTTPS流量中,要 窃取私钥需要先将OpenVPN数据包中的TLS数据分离开来。
为了重建私钥,攻击者需要利用漏洞反复向服务器发出请求,获取大量内存数据,完成验证试验的Strömberg拒绝透露所需获取的数据规模的具体数字,但透露在1-10GB之间。Strömberg还表示将不会公布或使用已经可以用于实际攻击的攻击验证程序代码。
Strömberg的测试环境是:KVM虚机上的Ubuntu12.04 ,OpenVPN2.2.1和OpenSSL1.0.1。但Strömberg表示他怀疑所有采用有漏洞的OpenSSL版本的OpenVPN都存在类似的漏洞。
对于很多采用OpenVPN的中小企业来说,一个好消息是启用TLS传输层安全认证的OpenVPN服务不会受到影响,因为TLS认证采用了单独的私钥认证TLS数据包。(编者按:SSL/TLS本身的安全性问题也应当受到重视)
对于企业内网的信息安全管理者来说,Heartbleed漏洞的修复要更加漫长和困难,造成的损失也将比外部网站更大。Palo alto networks的安全工程师Rob Seger认为:几乎内网中的所有web服务、FTP、VoIP电话、打印机、VPN服务器/客户端都可能会受到这次Heartbleed漏洞影响,对于 大企业来说,其修复周期至少会长达4-5年。
此外,大量无法获得厂商补丁更新的设备将不得不面临淘汰。
更糟糕的是,Heartbleed对于企业数据泄露保护等安全管理的冲击不亚于911对航空业安检制度的影响。安全服务公司Foreground安 全管理服务总监George Baker认为,Heartbleed漏洞将迫使企业全面审查加强其内网使用SSL的安全基础设施,从VoIP到VPN到打印机,与Heartbleed 有关的漏洞将使得企业数据面临前所未有的高级攻击、钓鱼攻击威胁。
文章来自IT经理网
文章转载自开源中国社区 [http://www.oschina.net]