杭州網(wǎng)站設(shè)計(jì)�,北京時(shí)間4月19日上午消息,研究人員剛剛發(fā)現(xiàn)了利用“心臟流血”漏洞的另外一種方式���,黑客可以借此成功繞過(guò)多步認(rèn)證措施�,以及VPN(虛擬專用網(wǎng)絡(luò))的欺詐探測(cè)機(jī)制����。
當(dāng)OpenSSL的這一重大漏洞上周曝光后,外界對(duì)其主要危害的了解僅限于竊取用戶名�����、密碼和加密秘鑰�����。但研究人員最近證實(shí),該漏洞還可以用于在廣泛使用的OpenVPN以及其他的VPN應(yīng)用中竊取私鑰��。
網(wǎng)絡(luò)安全研究公司Mandiant的研究人員周五表示��,“心臟流血”漏洞已經(jīng)被用于破壞VPN集中器��,這種應(yīng)用通??梢詾橛脩籼峁┮环N從外部訪問(wèn)組織內(nèi)部網(wǎng)絡(luò)的安全措施。這類設(shè)備通常需要在獲取訪問(wèn)權(quán)限前進(jìn)行多步認(rèn)證。除了密碼外,還需要其他形式的安全令牌��。而“心臟流血”漏洞恰恰可以突破這一機(jī)制,黑客在該漏洞公布后不到一天��,就研究出了這一進(jìn)攻措施���?���!?strong>杭州網(wǎng)站設(shè)計(jì)-蒙特信息】
黑客并沒(méi)有嘗試通過(guò)密碼或加密秘鑰來(lái)入侵VPN�����,而是著眼于目標(biāo)集中器設(shè)定的會(huì)話令牌,這種集中器有很多都采用了存在漏洞的OpenSSL版本��。黑客首先向VPN設(shè)備上的HTTPS網(wǎng)絡(luò)服務(wù)器發(fā)送畸形的“心跳”請(qǐng)求�����,由于受到攻擊的VPN設(shè)備都采用存在漏洞的OpenSSL�,因此黑客可以借此獲得擁有授權(quán)的用戶的活躍會(huì)話令牌���。借助活躍會(huì)話令牌����,攻擊者便可成功劫持多活躍用戶會(huì)話�,并讓VPN集中器相信,攻擊者已經(jīng)獲得合法授權(quán)�。
通過(guò)對(duì)IDS簽名和VPN日志的分析,也可以證明此事的真實(shí)性����。Mandiant則在博客中表示,由于OpenSSL已經(jīng)深深植根于互聯(lián)網(wǎng)的各個(gè)角落�,所以該漏洞的危害極大,目前還無(wú)法判斷究竟有多少方法可以利用這種漏洞����。
本文由杭州網(wǎng)站設(shè)計(jì)整理轉(zhuǎn)載請(qǐng)注明出處www.mgt88.cn
杭州網(wǎng)站設(shè)計(jì)�,北京時(shí)間4月19日上午消息�����,研究人員剛剛發(fā)現(xiàn)了利用“心臟流血”漏洞的另外一種方式�����,黑客可以借此成功繞過(guò)多步認(rèn)證措施���,以及VPN(虛擬專用網(wǎng)絡(luò))的欺詐探測(cè)機(jī)制����。
當(dāng)OpenSSL的這一重大漏洞上周曝光后����,外界對(duì)其主要危害的了解僅限于竊取用戶名、密碼和加密秘鑰��。但研究人員最近證實(shí)�����,該漏洞還可以用于在廣泛使用的OpenVPN以及其他的VPN應(yīng)用中竊取私鑰。
網(wǎng)絡(luò)安全研究公司Mandiant的研究人員周五表示����,“心臟流血”漏洞已經(jīng)被用于破壞VPN集中器,這種應(yīng)用通?����?梢詾橛脩籼峁┮环N從外部訪問(wèn)組織內(nèi)部網(wǎng)絡(luò)的安全措施����。這類設(shè)備通常需要在獲取訪問(wèn)權(quán)限前進(jìn)行多步認(rèn)證���。除了密碼外���,還需要其他形式的安全令牌。而“心臟流血”漏洞恰恰可以突破這一機(jī)制���,黑客在該漏洞公布后不到一天��,就研究出了這一進(jìn)攻措施�。【杭州網(wǎng)站設(shè)計(jì)-蒙特信息】
黑客并沒(méi)有嘗試通過(guò)密碼或加密秘鑰來(lái)入侵VPN���,而是著眼于目標(biāo)集中器設(shè)定的會(huì)話令牌���,這種集中器有很多都采用了存在漏洞的OpenSSL版本。黑客首先向VPN設(shè)備上的HTTPS網(wǎng)絡(luò)服務(wù)器發(fā)送畸形的“心跳”請(qǐng)求��,由于受到攻擊的VPN設(shè)備都采用存在漏洞的OpenSSL���,因此黑客可以借此獲得擁有授權(quán)的用戶的活躍會(huì)話令牌���。借助活躍會(huì)話令牌,攻擊者便可成功劫持多活躍用戶會(huì)話���,并讓VPN集中器相信����,攻擊者已經(jīng)獲得合法授權(quán)�。
通過(guò)對(duì)IDS簽名和VPN日志的分析,也可以證明此事的真實(shí)性�����。Mandiant則在博客中表示,由于OpenSSL已經(jīng)深深植根于互聯(lián)網(wǎng)的各個(gè)角落�,所以該漏洞的危害極大,目前還無(wú)法判斷究竟有多少方法可以利用這種漏洞�。
本文由杭州網(wǎng)站設(shè)計(jì)整理轉(zhuǎn)載請(qǐng)注明出處www.mgt88.cn
