Специалисты по ИТ-безопасности обнаружили критически опасный дефект в библиотеке криптографического программного обеспечения, работающего на 75% веб-серверов. Используемый софт применяется для идентификации конечных пользователей и предотвращения краж паролей, банковских реквизитов и других закрытых сведений.
Уязвимость была выявлена в программном обеспечении OpenSSL, которое по умолчанию используется в качестве крипто-библиотеки в веб-серверах Apache и Nginx, а помимо них - в десятках других популярных программ, операционных систем, клиентов электронной почты, мгновенных сообщений. Баг был выявлен во всех поддерживаемых версиях OpenSSL, выпущенных как минимум за последние два года. Через него потенциальные злоумышленники могут получать зашифрованные данные, которыми обмениваются сервер OpenSSL и целевой клиент.
Здесь речь идет о цифровых сертификатах, применяемых для аутентификации интернет-серверов и шифрования передаваемых данных. Атакующие не будут оставлять следов в серверных журналах, поэтому у администраторов практически нет шансов выявить, что серверный баг был использован хакерами. Сами разработчики говорят, что указанный баг является «экстремально критическим», однако исправление для него уже выпущено и многие разработчики операционных систем и прикладных приложений уже начали предлагать клиентам обновления OpenSSL или производных от него библиотек.
Отметим, что ввиду широкой популярности OpenSSL многие пользователи оказываются под ударом и потенциально могут стать объектами перехвата данных, если, конечно, оператор конкретных серверов, с которыми работает пользователь, не обновит OpenSSL.
ИТ-специалисты из Google и секьюрити-компании Codenomicon говорят, что даже после установки обновленной версии OpenSSL некоторые могут все равно оставаться уязвимыми для атаки. Атакующие потенциально могут получить цифровые сертификаты из кеш-памяти серверов, которая может не обновиться после установки патчей. Кроме того, впервые данная уязвимость появилась около двух лет назад и за это время (теоретически) ей могли воспользоваться многие хакеры. Для полной нейтрализации бага нужно не только обновить само программное обеспечение, но и по возможности отозвать ранее отданные цифровые сертификаты, заменив их на новые.
Подробный технический анализ бага доступен по адресу https://blog.torproject.org/blog/openssl-bug-cve-2014-0160 и http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
Баг, официально декларированный как CVE-2014-0160, позволяет атакующим восстанавливать до 64 Кб памяти из серверного или клиентского компьютера, где был установлен уязвимый OpenSSL. На практике это позволяет доставать приватные ключи шифрования из памяти и проводить атаку. Потенциально, он позволяет атаковать все TLS-защищенные соединения и получать из памяти большие объемы данных.
Источник: CyberSecurity
|
