گزارش مرکز ماهر در خصوص آسیب پذیری OPENSSL یا Heartbeat

به گزارش اِی وی نیوز، یک آسیب پذیری بسیار مهم در OpenSSL کشف شده است که به Heartbeat مشهور می باشد. این آسیب پذیری مربوط به ماژول Heartbeat در OpenSSL بوده که می تواند اطلاعات محافظت شده را در شرایط عادی به سرقت ببرد. در واقع با سواستفاده از این ویژگی، مهاجم به حافظه اطلاعات مبادله شده میان سرور و کلاینت و بالعکس دست می یابد. این آسیب پذیری ارتباط های بانک‌های اینترنتی را نیز تهدید می‌کند.

SSL/TLS ارتباط امن و محافظت شده در اینترنت را برای برنامه کاربردی از قبیل وب، ایمیل، شبکه های VPN ، وب سرورهای منبع باز مانند Apache و nginx و سرور پست الکترونیک مانند SMTP، POP و IMAP و چت سرور XMPP برقرار می نماید.

مهاجم با استفاده از این آسیب پذیری می تواند حافظه سیستم را بخواند و به کلید محرمانه رمزنگاری ترافیک و دیتای نام های کاربری و رمز عبور دسترسی یابد و از این طریق امکان شنود ارتباطات، سرقت دیتا، پست الکترونیک و مستندات مربوط به سرویسها، کاربران و همچنین شخصی سازی آنها را پیدا می کند. آسیب پذیری شناسایی شده مربوط به خطای برنامه نویسی در کتابخانه OpenSSLمی باشد.

جزییات آسیب پذیری Heartbeat در CVE-2014-0160 در تاریخ ۷ اوریل اعلام شده است. بر اساس گفته شرکت OpenSSL ، آسیب پذیری نسخه های مذکور در نسخه ۱٫۰٫۲-beta2 برطرف می گردد.

نسخه های آسیب پذیر:

نسخه های ۱٫۰٫۱ و ۱٫۰٫۲-beta از openSSL و ۱٫۰٫۱f و ۱٫۰٫۲-beta1 آسیب پذیر می باشند.

سیستم عامل های زیر آسیب پذیر به نقطه ضعف ذکر شده می باشند:

      • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
      • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
      • CentOS 6.5, OpenSSL 1.0.1e-15
      • Fedora 18, OpenSSL 1.0.1e-4
      • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
      • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
      • NetBSD 5.0.2 (OpenSSL 1.0.1e)
      • OpenSUSE 12.2 (OpenSSL 1.0.1c)

        راهکارهای شناسایی و مقابله :

· سیستم های آسیب پذیر می بایست سریعا به نسخه ۱٫۰٫۱g ارتقا یافته و یا با دستور زیر OpenSSL را مجددا تنظیم نمایند.
-DOPENSSL_NO_HEARTBEATS

·   شرکتهای سیستم عامل، برنامه های کاربردی و نرم افزاری می بایست تغییرات لازم را در محصولات خود ایجاد نموده و کاربران و مشتریان خود را مطلع نمایند.

·   شرکتهای ارایه دهنده خدمات اینترنت و کاربران آنها می بایست وصله های مربوط به سیستم عامل و نرم افزارهای خود را نصب نمایند.

·   نصب وصله ها، عدم استفاده از کلیدهای به سرقت رفته و ایجاد کلید جدید در گواهینامه ها توسط CA ها از دیگر راهکارهای مقابله با آسیب پذیری می باشد.

·    تغییر رمز عبور ، کلید و کوکی مربوط به نشست ها می بایست غیر معتبر قلمداد شود و تغییر یابد.

·    با وجود اینکه محتوای Hearbeat رمز شده است ولی در پروتکل OpenSSL قابل تشخیص است که منجربه شناسایی آن توسط IDS/IPS ها می گردد. تا زمانیکه Heartbeat بطورکامل در ترافیک مسدود نگردد، با مانیتورینگ ترافیک و مقایسه سایز بسته های درخواست و پاسخ امکان شناسایی این حمله وجود دارد. IDS/IPS ها تنها قادر به شناسایی بوده و امکان مسدود سازی حمله را ندارند.

·    اطلاعات مالی، شخصی، پست الکترونیک، مستنداتی که توسط این متد رمز شده اند می بایست توسط ارایه دهنده سرویس به روز شده و به کاربران سرویس اطلاع داده شود.

منبع: مرکز ماهر

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*