Рабочий эксплойт для сегодняшней уязвимости CVE-2014-0160
- среда, 9 апреля 2014 г. в 03:10:33
Возможно, 8 апреля 2014 года войдет в историю интернета как Всемирный день взлома. Сегодня ночью опубликована информация об уязвимости в OpenSSL 1.0.1, которая позволяет получить доступ к оперативной памяти большинства веб-серверов, использующих TLS для шифрования трафика. За 12 часов с момента публикации уязвимости многие сисадмины еще не установили новую версию OpenSSL 1.0.1g и/или не отключили сбойное расширение Heartbeat (RFC6520) для TLS.
Хакеры работают гораздо оперативнее. В первые часы было проведено массовое сканирование наличия Heartbeat на 1 миллионе крупнейших сайтов интернета по версии Alexa. Поднялись публичные сервисы, которые позволяют проверить каждый сервер по одиночке. Например, filippo.io/Heartbleed/, github.com/titanous/heartbleeder/ и possible.lv/tools/hb/.
Как показывают сервисы проверки, сейчас открыты для чтения тысячи серверов финансовых учреждений, государственных организаций, почтовых служб и т.д.
Как известно, уязвимость позволяет считывать по 64 кБ оперативной памяти за один такт, при этом количество тактов не ограничено, если обновлять соединение. Из оперативной памяти сервера можно извлечь различную информацию, в том числе ключи шифрования и пароли пользователей. Например, специалист по безопасности Джаред Стэффорд (jspenguin) опубликовал концептуальный скрипт на Python, который демонстрирует механизм копирования памяти уязвимого сервера. Фактически, этот скрипт можно назвать первым рабочим эксплойтом для CVE-2014-0160, хотя в ближайшие часы наверняка появятся более эффективные инструменты.
Счет идет именно на часы, тогда как многие сисадмины еще даже не узнали о проблеме. В госучреждениях и банках, учитывая традиционную российскую бюрократию, обновление OpenSSL может занять несколько дней, и в этом случае последствия могут быть самыми печальными.