北京时间 4 月 19 日上午我消息,研究人员刚刚发现了利用“心脏流血”漏洞的另外一种方式,黑客可以借此成功绕过多步认证措施,以及 VPN (虚拟专用网络)的欺诈探测机制。
当 OpenSSL 的这一重大漏洞上周曝光后,外界对其主要危害的了解仅限于窃取用户名、密码和加密秘钥。但研究人员最近证实,该漏洞还可以用于在广泛使用的 OpenVPN 以及其他的 VPN 应用中窃取私钥。
网络安全研究公司 Mandiant 的研究人员周五表示,“心脏流血”漏洞已经被用于破坏 VPN 集中器,这种应用通常可以为用户提供一种从外部访问组织内部网络的安全措施。这类设备通常需要在获取访问权限前进行多步认证。除了密码外,还需要其他形式的安全令牌。而“心脏流血”漏洞恰恰可以突破这一机制,黑客在该漏洞公布后不到一天,就研究出了这一进攻措施。
黑客并没有尝试通过密码或加密秘钥来入侵 VPN,而是着眼于目标集中器设定的会话令牌,这种集中器有很多都采用了存在漏洞的 OpenSSL 版本。黑客首先向 VPN 设备上的 HTTPS 网络服务器发送畸形的“心跳”请求,由于受到攻击的 VPN 设备都采用存在漏洞的 OpenSSL,因此黑客可以借此获得拥有授权的用户的活跃会话令牌。借助活跃会话令牌,攻击者便可成功劫持多活跃用户会话,并让 VPN 集中器相信,攻击者已经获得合法授权。
通过对 IDS 签名和 VPN 日志的分析,也可以证明此事的真实性。Mandiant 则在博客中表示,由于 OpenSSL 已经深深植根于互联网的各个角落,所以该漏洞的危害极大,目前还无法判断究竟有多少方法可以利用这种漏洞。(鼎宏)