Skoči na vsebino

SI-CERT 2014-03 / OpenSSL kritična ranljivost

Opis

Programska knjižnica OpenSSL vsebuje resno varnostno pomanjkljivost pri implementaciji razširitve heartbeat protokola TLS in DTLS. S posebej prirejenim zahtevkom lahko napadalec prebere 64kB podatkov iz delov pomnilniškega prostora strežnika, kjer se lahko nahajajo zelo občutljivi podatki, kot so avtentikacijski podatki o uporabnikih – gesla, sejni piškotki, in tudi zasebni ključ strežnika. Napad ne pušča sledi v dnevniških datotekah, zato po trenutno znanih podatkih ne vemo, ali se je ranljivost izkoriščala v napadih že pred 7.4.2014, ko je bila ranljivost javno objavljena.

Ranljive verzije

OpenSSL verzije 1.0.1 do vključno 1.0.1f.

Verzije, ki niso ranljive:

  • OpenSSL 1.0.1g,
  • OpenSSL 1.0.0 (celotna veja),
  • OpenSSL 0.9.8 (celotna veja).

Ranljivi so tako strežniki, kot tudi klienti, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.

Ali je vaš spletni strežnik ranljiv, lahko preverite na spletni strani https://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.

Rešitev

Administratorji

Administratorjem strežnikov, ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).

Administratorjem OpenVPN strežnikov svetujemo namestitev posodobljene verzije strežnika ter zamenjavo ključev na strežniku in odjemalcih (več informacij na https://community.openvpn.net/openvpn/wiki/heartbleed).

Skrbnikom drugih strežnikov in naprav, ki uporabljajo SSL/TLS protokol in morda uporabljajo ranljivo OpenSSL knjižnico, svetujemo, da se obrnejo neposredno na proizvajalca in informacije, objavljene na njihovih spletnih straneh.

Uporabniki storitev

Na spletni strani http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ se nahaja seznam spletnih strani, za katere priporočamo zamenjavo gesla. Gesla za ostale storitve zamenjajte, ko vas o tem pozove ponudnik storitve. Če niste prepričani, ali morate zamenjati geslo, kontaktirajte ponudnika storitve.

Ponudniki storitev

Ponudnike storitev pozivamo, da uporabnike obvestijo, ali je bila njihova storitev ranljiva, ter jih po odpravi ranljivosti (posodobitvi sistema in zamenjavi šifrirnih ključev) pozovejo k zamenjavi avtentikacijskih podatkov (gesla ipd.).

Odgovori na pogosta vprašanja

  1. Ali je Heartbleed virus?
    Ne, ne gre za virus, ki bi okuževal uporabniške računalnike, ampak za programsko pomanjkljivost v knjižnici OpenSSL, ki jo uporabljajo spletni in poštni strežniki za šifriranje komunikacije z uporabnikom. OpenSSL se uporablja tudi za druge šifrirane povezave.
  2. Koliko računalnikov v Sloveniji je ranljivih?
    Natančnih podatkov ta trenutek na SI-CERT še nimamo, ocene se gibljejo med 10 % in 20 %, zato so verjetno ocene o tem, da je ogroženih 2/3 spleta, pretirane (vsaj, dokler ne bodo na voljo dovolj zanesljivi podatki, ki bi tako trditev podprli).
  3. Baje so med ranljivimi tudi slovenske banke!
    Sklep o ranljivosti e-bančne storitve, ki ste ga morda videli na spletu, je bil kot kaže izpeljan na podlagi testa, ki ni popolnima zanesljiv. Zaenkrat nimamo podatkov o tem, da bi bili ogroženi komitenti kakšne banke, ki opravlja storitve v Sloveniji.
  4. Ali moram zamenjati vsa gesla?
    Najprej se pozanimajte pri svojem ponudniku, ali so njegove storitve bile ranljive. Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi.

Povezave

Zadnja posodobitev 11.4.2014

Preberite tudi

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več

SI-CERT 2023-03 / Ranljivost FortiOS in FortiProxy

Ranljivost CVE-2023-27997 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več