CVE-2014-0160漏洞背景

2014年4月7日OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴重漏洞（CVE-2014-0160），此次漏洞問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構(gòu)造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導致memcpy把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長大64K的數(shù)據(jù)。

OpenSSL受影響和不受影響版本

對此我們給出如下建議

最新版本升級地址為：https://www.openssl.org/source/. （OpenSSL官方）

分析與驗證

在該漏洞發(fā)布的第一時間我們對此漏洞進行了分析與驗證是否能夠獲取一些敏感信息。漏洞發(fā)布的同時攻擊可利用的腳本也已經(jīng)在網(wǎng)絡(luò)中流傳。下面漏洞利用腳本的下載地址：

http://filippo.io/Heartbleed/ （web測試頁面）

http://s3.jspenguin.org/ssltest.py (python腳本)

http://pan.baidu.com/s/1nt3BnVB (python腳本)

通過網(wǎng)絡(luò)中已有的測試方法，我們對存在問題的幾個網(wǎng)站進行測試，分析確定該漏洞確實可被攻擊者拿到一些敏感信息。測試過程如下：

apply.szsti.gov.cn （測試時間為2014-04-09 02:00）

my-card.in （測試時間為2014-04-09 02:00）

www.shuobar.cn （測試時間為2014-04-09 02:00）

gitcafe.com （測試時間為2014-04-09 02:00）

fengcheco.com （測試時間為2014-04-09 02:00）

測試的地址如是一些交易、證券、銀行等，是可以獲取到更多的敏感信息。在次提醒廣大用戶近早更新您的OpenSSL的版本或是根據(jù)我們的建議進行處理。

網(wǎng)絡(luò)檢測Snort規(guī)則

alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)

此次漏洞主要針對443端口的SSL協(xié)議。回包在16385字節(jié)，此規(guī)則是一個通用規(guī)則。