文/李偉明 徐佳

“心臟出血”漏洞分析及防范

文/李偉明 徐佳

OpenSSL漏洞可以通過(guò)讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存，而攻擊者可以訪問(wèn)敏感數(shù)據(jù)，從而危及服務(wù)器及用戶的安全。

福布斯網(wǎng)絡(luò)安全專欄作家約瑟夫·斯坦伯格曾寫道，“有些人認(rèn)為，至少就其潛在的影響而言，Heartbleed是自互聯(lián)網(wǎng)開始商業(yè)使用以來(lái)所發(fā)現(xiàn)的最嚴(yán)重的漏洞?！?因?yàn)镺penSSL做為互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)軟件一旦出現(xiàn)重大漏洞，必定導(dǎo)致整個(gè)互聯(lián)網(wǎng)出現(xiàn)系統(tǒng)性的安全風(fēng)險(xiǎn)。

什么是OpenSSL

SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當(dāng)用戶訪問(wèn)Gmail.com等安全網(wǎng)站時(shí)，就會(huì)在URL地址旁看到一個(gè)“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。這個(gè)“鎖”表明，第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺(tái)，通過(guò)SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對(duì)話，也只能看到一串隨機(jī)字符串，而無(wú)法了解電子郵件、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。很多大型網(wǎng)絡(luò)服務(wù)都已經(jīng)默認(rèn)利用這項(xiàng)技術(shù)加密數(shù)據(jù)。如今，谷歌、雅虎和Facebook都在使用SSL默認(rèn)對(duì)其網(wǎng)站和網(wǎng)絡(luò)服務(wù)進(jìn)行加密。

OpenSSL是由加拿大人Eric A. Young和Tim J. Hudson所寫的一個(gè)開放源代碼的SSL軟件庫(kù)，主要功能是為傳輸層數(shù)據(jù)提供加密服務(wù)，OpenSSL提供的功能相當(dāng)強(qiáng)大和全面，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議。由于Apache和Nginx Web服務(wù)器都在底層使用了OpenSSL，因此OpenSSL被廣泛地在互聯(lián)網(wǎng)中使用。

什么是“心臟出血”漏洞

Heartbleed漏洞（CVE-2014-0160 ）是由Codenomicon和谷歌安全部門的研究人員獨(dú)立發(fā)現(xiàn)的。漏洞具體出現(xiàn)位置是在實(shí)現(xiàn)OpenSSL的TLS/ DTLS（傳輸層安全協(xié)議）心跳擴(kuò)展中，一旦這個(gè)擴(kuò)展被使用時(shí)，就會(huì)導(dǎo)致內(nèi)存信息從服務(wù)器向客戶端泄露。漏洞被歸為緩沖區(qū)過(guò)度讀取，原因是在處理安全套接層（TLS）心跳擴(kuò)展中缺乏邊界檢查。SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的信息，確認(rèn)另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過(guò)巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機(jī)密信息。受影響的服務(wù)器可能會(huì)因此而被騙，并發(fā)送給客戶端內(nèi)存中的信息?？偨Y(jié)起來(lái)，該漏洞具有四個(gè)特性：

廣泛性：OpenSSL組件應(yīng)用范圍極其廣泛；

核心性：OpenSSL組件主要提供SSL服務(wù)，該服務(wù)經(jīng)常用于傳輸敏感信息如密碼；

不可追蹤性：黑客利用此漏洞后不會(huì)留下任何痕跡，永遠(yuǎn)無(wú)法知道黑客通過(guò)該漏洞獲取了什么信息；

易攻擊性：HTTPS協(xié)議是外層公開協(xié)議，沒(méi)有防火墻或者其他保護(hù)措施，任何人都可以隨意發(fā)動(dòng)攻擊。

漏洞起因

該漏洞的出現(xiàn)主要是因?yàn)镺penSSL在實(shí)現(xiàn)TLS和DTLS的心跳處理邏輯時(shí)，存在編碼缺陷。OpenSSL的心跳處理邏輯沒(méi)有檢測(cè)心跳包中的長(zhǎng)度字段是否和后續(xù)的數(shù)據(jù)字段相符合，攻擊者可以利用這點(diǎn)，構(gòu)造異常的數(shù)據(jù)包，來(lái)獲取心跳數(shù)據(jù)所在的內(nèi)存區(qū)域的后續(xù)數(shù)據(jù)。這些數(shù)據(jù)中可能包含了證書私鑰、用戶名、用戶密碼、用戶郵箱等敏感信息。該漏洞允許攻擊者從內(nèi)存中一次讀取多達(dá)64KB的數(shù)據(jù)。這種類型的漏洞被歸類為內(nèi)存泄露問(wèn)題，而根本上就是因?yàn)镺penSSL在處理心跳請(qǐng)求包時(shí)，沒(méi)有對(duì)心跳請(qǐng)求包的length字段（占2byte，可以標(biāo)識(shí)的數(shù)據(jù)長(zhǎng)度為64KB）和后續(xù)的data字段做合規(guī)檢測(cè)。

客戶端發(fā)送心跳報(bào)文PacketClient給服務(wù)器端，服務(wù)器端生成心跳響應(yīng)包PacketServer返回給客戶端。服務(wù)器直接使用PacketClient中的length長(zhǎng)度字段，申請(qǐng)了length長(zhǎng)度的內(nèi)存，作為PacketServer緩沖區(qū)。然后OpenSSL會(huì)把接收到的心跳包PacketClient的內(nèi)容用memcpy復(fù)制到新分配的PacketServer緩沖區(qū)中，再發(fā)送出去。這里存在的bug是如果接PacketClient中的length字段長(zhǎng)度比實(shí)際內(nèi)容要長(zhǎng)，那么OpenSSL的memcpy操作將越過(guò)原來(lái)的PacketClient報(bào)文邊界，拷貝服務(wù)器內(nèi)存中的隱私內(nèi)容到PacketServer中，將不該泄露的隱私數(shù)據(jù)發(fā)回客戶端。

漏洞影響

引用一則來(lái)自O(shè)penSSL的官方說(shuō)明指出：“OpenSSL在Web服務(wù)器如Apache/ Nginx中使用，這兩種服務(wù)器的全球份額超過(guò)66%。還在郵件服務(wù)如SMTP/POP/ IMAP協(xié)議，聊天服務(wù)如XMPP協(xié)議，VPN服務(wù)等多種網(wǎng)絡(luò)服務(wù)中廣泛使用。幸運(yùn)的是，這些服務(wù)很多比較古老，沒(méi)有更新到新的OpenSSL，所以不受影響，不過(guò)還是有很多使用的是新版本的OpenSSL，都受到了影響?！?/p>

該漏洞從2012年5月14日OpenSSL發(fā)布1.0.1版本時(shí)開始產(chǎn)生威脅（如果追蹤代碼更新的話應(yīng)該是2011年11月），受影響的版本主要包括：1.0.1至1.0.1f以及1.0.2-beta至1.0.2-beta1。至今已經(jīng)有兩年的威脅周期，只是最近才被人發(fā)現(xiàn)并做出修正。在威脅期間，我們無(wú)法得知有多少黑客發(fā)現(xiàn)并利用這個(gè)漏洞進(jìn)行大范圍的網(wǎng)絡(luò)攻擊活動(dòng)，因?yàn)檫@種攻擊方式是非常難以被察覺到的。因此如果做最壞的估計(jì)，也許所有大網(wǎng)站的用戶數(shù)據(jù)都已泄漏，影響與危害直接涉及個(gè)人利益和安全。

該漏洞通過(guò)讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存，攻擊者可以訪問(wèn)敏感數(shù)據(jù)，從而危及服務(wù)器及用戶的安全。漏洞還可能暴露其他用戶的敏感請(qǐng)求和響應(yīng)，包括用戶任何形式的POST請(qǐng)求數(shù)據(jù)，會(huì)話Cookie和密碼，這能使攻擊者可以劫持其他用戶的服務(wù)身份。在其被披露時(shí)，約有17%或50萬(wàn)通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證的互聯(lián)網(wǎng)安全網(wǎng)絡(luò)服務(wù)器被認(rèn)為容易受到攻擊。

根據(jù)國(guó)內(nèi)安全團(tuán)隊(duì)的測(cè)評(píng)，通過(guò)利用該漏洞可以獲取到淘寶、微信、陌陌、12306等使用OpenSSL服務(wù)的支付接口的內(nèi)存信息，其中包含有用戶信息等敏感內(nèi)容（有些重要網(wǎng)站含明文密碼）。

更重要的是，可能大家目前把目光主要集中在HTTPS類的網(wǎng)站上，普通網(wǎng)民可能認(rèn)為只有網(wǎng)站自身業(yè)務(wù)會(huì)受到該漏洞的影響，實(shí)際上只要使用了存在該漏洞的OpenSSL的libssl.so庫(kù)的應(yīng)用程序都存在安全漏洞。據(jù)有關(guān)數(shù)據(jù)得知，Hearbleed漏洞的輻射范圍已經(jīng)從開啟HTTPS的網(wǎng)站延伸到了VPN系統(tǒng)和郵件系統(tǒng)，目前共發(fā)現(xiàn)國(guó)內(nèi)共有251個(gè)VPN系統(tǒng)和725個(gè)郵件系統(tǒng)同樣存在漏洞，其中不乏政府網(wǎng)站、重點(diǎn)高校和相關(guān)安全廠商。

防御建議

首先，如果用戶最近登錄過(guò)這類帶HTTPS的網(wǎng)站，應(yīng)該及時(shí)修改密碼。一般來(lái)說(shuō)，一些知名的大網(wǎng)站，現(xiàn)在去修改密碼會(huì)靠譜很多，因?yàn)檫@些大網(wǎng)站幾乎修復(fù)完全了。在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能，以避免用戶密碼被鉆了漏洞的黑客捕獲。對(duì)于普通用戶來(lái)說(shuō)只要發(fā)現(xiàn)瀏覽器地址欄的網(wǎng)址是https開頭的都應(yīng)該警惕，因?yàn)檫@次OpenSSL漏洞影響的正是https網(wǎng)站，本來(lái)是安全傳輸?shù)膮s也不安全了。通過(guò)開啟相關(guān)互聯(lián)網(wǎng)公司提供的漏洞掃描工具，一旦用戶訪問(wèn)https站點(diǎn)時(shí)，這些工具的云端就會(huì)確認(rèn)這個(gè)站點(diǎn)是否存在漏洞。如果用戶訪問(wèn)有漏洞的站點(diǎn)，就出攔截頁(yè)面提示用戶，建議不要登錄。這樣也能幫助我們識(shí)別相關(guān)的網(wǎng)站是否存在漏洞進(jìn)而謹(jǐn)慎訪問(wèn)。

Heartbleed攻擊日志很難追查。不過(guò)可以通過(guò)IDS/IPS等設(shè)備來(lái)繼續(xù)檢測(cè)/防御。但是與用戶的消極避險(xiǎn)不同，相關(guān)互聯(lián)網(wǎng)企業(yè)則應(yīng)該盡快進(jìn)行主動(dòng)升級(jí)。升級(jí)到最新的OpenSSL版本，可以消除這一漏洞，這是目前企業(yè)最便捷的做法。但在升級(jí)后，理論上還應(yīng)該通知用戶更換安全證書（因?yàn)槁┒吹拇嬖?，證書的密鑰可能已泄漏），并通知用戶盡可能地修改密碼。

漏洞修復(fù)前后測(cè)試結(jié)果分析

我們通過(guò)Heartbleed驗(yàn)證腳本ssltest. py進(jìn)行 測(cè) 試（https:// gist.github.com/ RixTox/10222402)，在命令行下輸入python ssltest.py yourip ＞log.attack得到日志文件，然后根據(jù)日志文件中的提示可以分析到網(wǎng)站是否存在漏洞，這里以O(shè)penSSL 1.0.1c為例來(lái)進(jìn)行測(cè)試，漏洞修復(fù)前，得到的日志文件如圖1所示。

圖1 漏洞修復(fù)前得到的日志文件

可以看到，在日志文件中，捕獲到了服務(wù)器端的大量數(shù)據(jù)，同時(shí)，在日志最后還有相關(guān)的服務(wù)器可能會(huì)被攻擊的提示。當(dāng)我們對(duì)漏洞進(jìn)行修復(fù)后，再次運(yùn)行上面的命令，得到的日志文件如圖2所示。

圖2 漏洞進(jìn)行修復(fù)后得到的日志文件

可以看到，現(xiàn)在已經(jīng)捕獲不到服務(wù)器端的數(shù)據(jù)了，而且在日志文件最后對(duì)服務(wù)器是否可能被攻擊性給出了提示。當(dāng)然，檢測(cè)網(wǎng)站是否具有Heartbleed漏洞除了可以通過(guò)腳本測(cè)試外，還可以通過(guò)部分在線網(wǎng)絡(luò)工具進(jìn)行測(cè)試，比如通過(guò)http:// possible.lv/tools/hb/可以進(jìn)行檢測(cè)，諸如此類的工具還比較多。

在互聯(lián)網(wǎng)飛速發(fā)展的今天，一些協(xié)議級(jí)、基礎(chǔ)設(shè)施級(jí)漏洞的出現(xiàn)，可能會(huì)打擊人們使用互聯(lián)網(wǎng)的信心，但客觀上也使得問(wèn)題及時(shí)暴露，在發(fā)生更大的損失前及時(shí)得到彌補(bǔ)。作為互聯(lián)網(wǎng)用戶主動(dòng)應(yīng)變、加強(qiáng)自我保護(hù)，可能比把安全和未來(lái)全部托付出去要更負(fù)責(zé)任。

（作者單位為華中科技大學(xué)網(wǎng)絡(luò)與計(jì)算中心）