|
||||
研究人員剛剛發現了利用『心髒流血』漏洞的另外一種方式,黑客可以借此成功繞過多步認證措施,以及VPN(虛擬專用網絡)的欺詐探測機制。
當OpenSSL的這一重大漏洞上周曝光後,外界對其主要危害的了解僅限於竊取用戶名、密碼和加密秘鑰。但研究人員最近證實,該漏洞還可以用於在廣泛使用的OpenVPN以及其他的VPN應用中竊取私鑰。
網絡安全研究公司Mandiant的研究人員周五表示,『心髒流血』漏洞已經被用於破壞VPN集中器,這種應用通常可以為用戶提供一種從外部訪問組織內部網絡的安全措施。這類設備通常需要在獲取訪問權限前進行多步認證。除了密碼外,還需要其他形式的安全令牌。而『心髒流血』漏洞恰恰可以突破這一機制,黑客在該漏洞公布後不到一天,就研究出了這一進攻措施。
黑客並沒有嘗試通過密碼或加密秘鑰來入侵VPN,而是著眼於目標集中器設定的會話令牌,這種集中器有很多都采用了存在漏洞的OpenSSL版本。黑客首先向VPN設備上的HTTPS網絡服務器發送畸形的『心跳』請求,由於受到攻擊的VPN設備都采用存在漏洞的OpenSSL,因此黑客可以借此獲得擁有授權的用戶的活躍會話令牌。借助活躍會話令牌,攻擊者便可成功劫持多活躍用戶會話,並讓VPN集中器相信,攻擊者已經獲得合法授權。
通過對IDS簽名和VPN日志的分析,也可以證明此事的真實性。Mandiant則在博客中表示,由於OpenSSL已經深深植根於互聯網的各個角落,所以該漏洞的危害極大,目前還無法判斷究竟有多少方法可以利用這種漏洞。(鼎宏)