黑客可利用“心脏流血”漏洞绕过VPN认证_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 黑客可利用“心脏流血”漏洞绕过VPN认证

黑客可利用“心脏流血”漏洞绕过VPN认证

 2014/4/19 10:19:04    程序员俱乐部  我要评论(0)
  • 摘要:北京时间4月19日上午我消息,研究人员刚刚发现了利用“心脏流血”漏洞的另外一种方式,黑客可以借此成功绕过多步认证措施,以及VPN(虚拟专用网络)的欺诈探测机制。当OpenSSL的这一重大漏洞上周曝光后,外界对其主要危害的了解仅限于窃取用户名、密码和加密秘钥。但研究人员最近证实,该漏洞还可以用于在广泛使用的OpenVPN以及其他的VPN应用中窃取私钥。网络安全研究公司Mandiant的研究人员周五表示,“心脏流血”漏洞已经被用于破坏VPN集中器
  • 标签:利用 漏洞 黑客

  北京时间 4 月 19 日上午我消息,研究人员刚刚发现了利用“心脏流血”漏洞的另外一种方式,黑客可以借此成功绕过多步认证措施,以及 VPN (虚拟专用网络)的欺诈探测机制。

  当 OpenSSL 的这一重大漏洞上周曝光后,外界对其主要危害的了解仅限于窃取用户名、密码和加密秘钥。但研究人员最近证实,该漏洞还可以用于在广泛使用的 OpenVPN 以及其他的 VPN 应用中窃取私钥。

  网络安全研究公司 Mandiant 的研究人员周五表示,“心脏流血”漏洞已经被用于破坏 VPN 集中器,这种应用通常可以为用户提供一种从外部访问组织内部网络的安全措施。这类设备通常需要在获取访问权限前进行多步认证。除了密码外,还需要其他形式的安全令牌。而“心脏流血”漏洞恰恰可以突破这一机制,黑客在该漏洞公布后不到一天,就研究出了这一进攻措施。

  黑客并没有尝试通过密码或加密秘钥来入侵 VPN,而是着眼于目标集中器设定的会话令牌,这种集中器有很多都采用了存在漏洞的 OpenSSL 版本。黑客首先向 VPN 设备上的 HTTPS 网络服务器发送畸形的“心跳”请求,由于受到攻击的 VPN 设备都采用存在漏洞的 OpenSSL,因此黑客可以借此获得拥有授权的用户的活跃会话令牌。借助活跃会话令牌,攻击者便可成功劫持多活跃用户会话,并让 VPN 集中器相信,攻击者已经获得合法授权。

  通过对 IDS 签名和 VPN 日志的分析,也可以证明此事的真实性。Mandiant 则在博客中表示,由于 OpenSSL 已经深深植根于互联网的各个角落,所以该漏洞的危害极大,目前还无法判断究竟有多少方法可以利用这种漏洞。(鼎宏)

上一篇: 一季度美国手机激活量Android占比超过一半 下一篇: 没有下一篇了!
发表评论
用户名: 匿名