Saturday , 23 March 2019

Heartbleed bug

Sau hơn 2 tháng kể từ khi lỗ hổng Heartbleed được công bố và được fix chỉ vài tuần sau đó nhưng hiện nay vẫn còn tồn tại nhiều nguy cơ. Hôm nay chúng ta cùng nhìn lại lổ hổng Heartbleed.

Đầu tuần tháng 4, kỹ sư Antti Karjalainen đang làm việc như bình thường khi anh bỗng phát hiện ra một trong những lỗ hổng bảo mật lớn nhất trên Internet – lỗ hổng Heartbleed.Karjalainen làm việc cho hãng bảo mật Codenomicon và là một trong ba kỹ sư đã có công phát hiện ra Heartbleed.

Heartbleed ảnh hưởng đến một giao thức mã hoá được sử dụng rất rộng rãi là OpenSSL. Nói một cách ngắn gọn, lỗ hổng này lừa các máy chủ đổ (hay “chảy máu”) hết dữ liệu trong bộ nhớ, có thể khiến hacker tiếp cận được những thông tin nhạy cảm như số thẻ tín dụng và mật khẩu.

Karjalainen – cùng với các đồng nghiệp ở Codenomicon là Riku Hietamäki và Matti Kamunen, và chuyên gia bảo mật Neel Mehta của Google – là những người đầu tiên phát hiện ra lỗ hổng.

Karajalainen nói anh đang cùng với Hietamäki nâng cấp các tính năng mới cho bộ thử nghiệm giao thức của Codemonicon khi họ phát hiện ra lỗ hổng.

Theo Karjalainen, tính năng mới, được gọi là Safeguard, được thiết kế để nhận dạng các loại tổn thương phần mềm mới. Anh cho biết ban đầu anh phát hiện ra một cái gì đó không ổn khi bổ sung hỗ trợ cho tính năng Heartbeat của OpenSSL, một kỹ thuật để thử nghiệm xem kết nối có an toàn.

Heartbeat cho phép một máy chủ gửi dữ liệu tuỳ ý cho máy khác. Máy nhận sau đó gửi bản sao dữ liệu cho máy gửi ban đầu để chứng tỏ rằng kết nối an toàn và không bị xâm nhập. Nhưng trong trường hợp này, mọi thứ lại không diễn ra như thế.

Codenomicon bắt đầu nhận thấy các thử nghiệm mới sẽ kích hoạt các tổn thương trong giao thức Heartbeat. Sau khi phát hiện một trường hợp bất thường, Karjalainen và Hietamäki đã thử một thử nghiệm khác. Thử nghiệm mới này khẳng định rằng lỗi trong tính năng Heartbeat đang lén lút rò rỉ dữ liệu.

“Đúng như những gì chúng tôi lo sợ”, anh nói. “Máy chủ đổ hết dữ liệu trong bộ nhớ. Khi chúng tôi tìm hiểu vấn đề kỹ hơn, chúng tôi nhanh chóng hiểu ra đó là một lỗ hổng rất, rất tệ”.

Ngày hôm sau, chuyên gia bảo mật Marko Laakso của Codenomicon phát hiện ra phiên bản OpenSSL được dùng để hỗ trợ cho bộ giao thức thử nghiệm của công ty đang rò rỉ các private key từ máy chủ. Xin bổ sung thêm rằng, trong mã hóa bất đối xứng, người ta dùng một cặp khóa (key) gọi là Private Key và Public key để phục vụ việc mã và giải mã. “Các private key đó chính là vương miện bảo mật của Internet”, Karjalainen nói. “Vì thế, đây là lỗ hổng tồi tệ nhất trong lịch sử Internet”.

Dưới đây là một ví dụ, một mẫu bản ghi dữ liệu đã được lấy ra từ máy chủ của Yahoo Mail thông qua lỗ hổng Heartbleed. Tài khoản và mật khẩu chính là phần bị che đi, qua đó cho ta cái nhìn trực quan về cách Heartbleed hoạt động.

null

 

Thiết bị phần cứng mạng máy tính cũng dính Heartbleed
null
Giữa tháng 4/2014, hai nhà sản xuất thiết bị mạng lớn trên thế giới là Cisco và Juniper Networks đã chính thức thông báo rằng sản phẩm của họ (gồm bộ định tuyến, bộ chuyển mạch, tường lửa) bị dính lỗ hổng Heartbleed. Từ đó, hacker có thể đánh cắp tên người dùng, mật khẩu và những thông tin nhạy cảm khác khi chúng tấn công vào các mạng doanh nghiệp, mạng gia đình và mạng Internet dùng thiết bị của Cisco và Juniper Neworks.

Các thiết bị phần cứng như bộ định tuyến, tường lửa, thiết bị mạng… bản chất cũng là các máy tính chạy hệ điều hành, trên đó có cung cấp các dịch vụ qua https sử dụng OpenSSL, thường là các dịch vụ quản trị, cấu hình thiết bị. Do vậy, các thiết bị này cũng có khả năng có lỗ hổng OpenSSL.

Vấn đề được người sử dụng thiết bị phần cứng máy tính quan tâm nhất hiện nay là làm thế nào để phát hiện và giảm thiểu nguy cơ thiệt hại từ các thiết bị dính lỗ hổng Heartbleed.

Không dễ để xác định xem phần cứng máy tính của người dùng có bị lỗ hổng hay không. Tuy nhiên không phải tất cả các bộ phận của phần cứng đều bị lỗi, bởi vì các bộ định tuyến khác nhau sẽ có những phiên bản OpenSSL khác nhau.

Người dùng có thể kiểm tra độ an toàn của bộ định tuyến Juniper và Cisco theo hướng dẫn trên website của các công ty này. Cả hai nhà sản xuất này đều đang tích cực nghiên cứu để đưa ra thị trường những bản cập nhật vá lỗi hiệu quả.

Đối với các thiết bị phần cứng, việc cập nhật bản vá để vá không dễ dàng như trên các máy tính thông thường. Quản trị hệ thống phải nâng cấp toàn bộ firmware (hệ điều hành cho các thiết bị chuyên dụng) từ nhà sản xuất. Để hạn chế các nguy cơ có thể có đối với hệ thống, quản trị viên cần rà soát xem các thiết bị mạng của đơn vị mình có cung cấp dịch vụ https hay không, sau đó tiến hành kiểm tra từng thiết bị, đồng thời cũng nên cập nhật các firmware mới nhất từ nhà sản xuất.

 

Những máy chủ có nguy cơ bị lỗ hổng Heartbleed :

Phiên bản tồn tại lỗ hổng là OpenSSL 1.0.1 đến 1.0.1f. Các phiên bản trước đó và sau đó không bị.
Một số hệ điều hành có cài đặt sẵn OpenSSL sau đây có thể bị:

  1. Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  2. Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  3. CentOS 6.5, OpenSSL 1.0.1e-15
  4. Fedora 18, OpenSSL 1.0.1e-4
  5. OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  6. FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  7. NetBSD 5.0.2 (OpenSSL 1.0.1e)
  8. OpenSUSE 12.2 (OpenSSL 1.0.1c)

 

Cập nhật bản vá cho lỗ hổng Heartbleed:

Đầu tiên, cần kiểm tra phiên bản hiện tại trên máy là bao nhiêu bằng câu lệnh:

openssl version – a

Nếu kết quả ví dụ là:

OpenSSL 1.0.1e 11 Feb 2013          (phiên bản 1.0.1e có lỗi)

Thì bạn cần phải cập nhật ngay lập tức. Vào OS của bạn, sẽ cập nhật với câu lệnh tương ứng
Ví dụ trên CentOS là:

yum update openssl

Ví dụ trên Ubuntu là:

apt-get upgrade openssl

 

 

 References

http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

http://cvedetails.com/cve/2014-0160

http://heartbleed.com

https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/ssl/openssl_heartbleed.rb

http://www.ehackingnews.com/2014/04/heartbleed-openssl-vulnerability.html

https://gist.github.com/sh1n0b1/10100394

http://www.howtoforge.com/find_out_if_server_is_affected_from_openssl_heartbleed_vulnerability_cve-2014-0160_and_how_to_fix

 

Lượt xem (601)

About Nguyên Ngọc

Networking and Communications

Xem thêm

Sau khi bị tấn công rò rỉ dữ liệu, Uber trả cho hacker 100,000 USD để giữ bí mật

UBer thông báo đã xả ra một vụ rò rỉ dữ liệu khổng lồ vào …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *