研究人员发现了成千上万的心脏出血性OpenSSL病毒潜在目标

2018-06-20 28

进一步阅读OpenSSL中的关键密码错误,可以打开三分之二的Web窃听密西根大学的一个安全研究小组使用一个名为ZMap的开源网络扫描仪在互联网上搜索仍然容易受到攻击的服务器,这些服务器可以用来从使用流行的OpenSSL 1 . 0 . 1密码库的服务器中检索用户名、密码,甚至可能是私有加密密钥。本周早些时候,OpenSSL修补了漏洞,但使用受影响库的数十万台Web服务器和其他网络连接设备仍然存在漏洞。ZMap由密歇根大学助理教授亚历克斯·哈尔德曼和计算机科学研究生扎基尔·杜默里克和埃里克·伍斯特罗开发,如果在具有千兆网络连接的机器上运行,它可以在不到45分钟的时间内完成对互联网地址空间的全面扫描。杜默里克、哈尔德曼、本科计算机科学专业学生大卫·阿德里安和研究副教授迈克尔·贝利配置了一个ZMap扫描,扫描心脏出血漏洞,植入了Alexa在互联网上100万个最受欢迎域名的列表。

截至2014年4月9日下午4 : 00,研究人员在他们的研究结果中报告说,我们发现Alexa排名前100万的网站中有34 %支持TLS。在支持HTTPS的网站中,11 %是易受攻击的,27 %安全地支持心跳扩展,61 %不支持心跳扩展(因此是安全的)。虽然我们仍在完成对Internet的全面扫描,但初步结果显示,支持HTTPS的所有主机中,大约有6 %仍然存在漏洞。随着更多的扫描结果可用,我们将更新这些数字。我们目前没有发布全互联网扫描。

容易感染心脏出血性疾病的顶级域名是Kaskus,一个印尼社交媒体网站,它使用基于SSL的连接进行用户认证的会话。报告中还出现了一些网站(至少截至昨天),它们可能没有以公开用户凭据的方式使用SSL,例如基于云的文件共享提供商ZeoNet,它使用SSL和TLS加密上传。它不使用用户名和密码身份验证,尽管发送到服务的文件内容可能会因心脏出血攻击而面临风险。Twitter照片共享服务twittpic . com使用OAuth令牌进行身份验证,而不是用户名,并且也容易受到攻击。报告中出现的一些站点可能根本不使用HTTPS。(一个这样的站点,clickey . com,不能通过安全连接正确地验证自己。)

对于恶意黑客来说,最具吸引力的目标可能是在线广告网络Avazu Network。大量的电子商务网站仍然被曝光,包括俄罗斯的Android手机商店和其他一些Android应用商店。