在首次公开披露两周后,Heartbleed安全漏洞仍然对企业构成风险。从技术上讲,Heartbleed错误是开源OpenSSL密码库中的一个安全漏洞,该漏洞在Web服务器和嵌入式设备上得到了广泛使用。OpenSSL项目已于4月7日为Heartbleed漏洞提供了补丁,此后,世界各地的组织争先恐后地实施该补丁。
根据安全公司Sucuri的分析,截至4月17日,亚马逊Alexa服务排名前100万个站点中的2%(即20,320 个)仍然容易受到Heartbleed漏洞的攻击。
尽管Web服务器仍然是Heartbleed漏洞的主要目标,但它们并不是唯一受到威胁的Internet技术。如今,虚拟专用网(VPN)技术通常以SSL-VPN的形式进行部署,现已被认为也受到了Heartbleed的攻击。安全研究组织Mandiant通过早先的10亿美元收购成为FireEye的一部分今年,据报道,其客户之一在易受攻击的SSL-VPN上受到Heartbleed的攻击。
开始于4月8日,一个攻击者利用针对VPN设备的心脏出血漏洞漏洞和劫持多活跃用户会话,”美国麦迪安网络安全公司安全研究人员在博客中写道岗位。“特别是,攻击者反复向运行在VPN设备上的HTTPS Web服务器发送格式错误的心跳请求,该HTTPS Web服务器使用易受攻击的OpenSSL版本进行编译,以获取当前经过身份验证的用户的活动会话令牌。”
SSL-VPN可能面临风险并不令人惊讶,尤其是在4月8日。开放源代码OpenSSL项目在4月7日发布了补丁程序,各个供应商花费了一些时间来正确打包该补丁程序。用户还需要花费时间来修补正在使用的实际技术。
但是,有关Mandiant发现的令人惊讶的是,该公司的安全研究人员监视的攻击还绕过了受害企业的适当位置的多因素身份验证。多因素身份验证应该有助于限制像Heartbleed这样的单一漏洞暴露用户密码的风险。通过多因素身份验证(有时称为两因素身份验证或2FA),可以使用随机生成的第二因素来获得访问权限。
那么这对企业用户意味着什么呢?
这意味着,除了确保Web服务器和站点受到保护并免受Heartbleed侵害外,所有组织还必须更新和保护其所有面向Web的技术。这些技术包括VPN以及链接到它们的所有相关用户密码。
这不是一项艰巨的任务,但Mandiant的最新研究也表明,这种风险是真实存在的。
