گزارش مركز ماهر در خصوص آسيب پذيري OPENSSL يا Heartbeat

يك آسيب پذيري بسيار مهم در OpenSSL كشف شده است كه به Heartbeat مشهور مي باشد. اين آسيب پذيري مربوط به ماژول Heartbeat در OpenSSL بوده كه مي تواند اطلاعات محافظت شده را در شرايط عادي به سرقت ببرد. در واقع با سواستفاده از اين ويژگي، مهاجم به حافظه اطلاعات مبادله شده ميان سرور و كلاينت و بالعكس دست مي يابد. اين آسيب پذيري ارتباط هاي بانك‌هاي اينترنتي را نيز تهديد مي‌كند.
SSL/TLS ارتباط امن و محافظت شده در اينترنت را براي برنامه كاربردي از قبيل وب، ايميل، شبكه هاي VPN ، وب سرورهاي منبع باز مانند Apache و nginx و سرور پست الكترونيك مانند SMTP، POP و IMAP و چت سرور XMPP برقرار مي نمايد.
مهاجم با استفاده از اين آسيب پذيري مي تواند حافظه سيستم را بخواند و به كليد محرمانه رمزنگاري ترافيك و ديتاي نام هاي كاربري و رمز عبور دسترسي يابد و از اين طريق امكان شنود ارتباطات، سرقت ديتا، پست الكترونيك و مستندات مربوط به سرويسها، كاربران و همچنين شخصي سازي آنها را پيدا مي كند. آسيب پذيري شناسايي شده مربوط به خطاي برنامه نويسي در كتابخانه OpenSSL مي باشد.
جزييات آسيب پذيري Heartbeat در CVE-2014-0160 در تاريخ 7 اوريل اعلام شده است. بر اساس گفته شركت OpenSSL ، آسيب پذيري نسخه هاي مذكور در نسخه 1.0.2-beta2 برطرف مي گردد.

نسخه هاي آسيب پذير
نسخه هاي 1.0.1 و 1.0.2-beta از openSSL و 1.0.1f و 1.0.2-beta1 آسيب پذير مي باشند.

سيستم عامل هاي زير آسيب پذير به نقطه ضعف ذكر شده مي باشند:

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

راهكارهاي شناسايي و مقابله

• سيستم هاي آسيب پذير مي بايست سريعا به نسخه 1.0.1g ارتقا يافته و يا با دستور زير OpenSSL را مجددا تنظيم نمايند.

-DOPENSSL_NO_HEARTBEATS

• شركتهاي سيستم عامل، برنامه هاي كاربردي و نرم افزاري مي بايست تغييرات لازم را در محصولات خود ايجاد نموده و كاربران و مشتريان خود را مطلع نمايند.
• شركتهاي ارايه دهنده خدمات اينترنت و كاربران آنها مي بايست وصله هاي مربوط به سيستم عامل و نرم افزارهاي خود را نصب نمايند.
• نصب وصله ها، عدم استفاده از كليدهاي به سرقت رفته و ايجاد كليد جديد در گواهينامه ها توسط CA ها از ديگر راهكارهاي مقابله با آسيب پذيري مي باشد.
• تغيير رمز عبور ، كليد و كوكي مربوط به نشست ها مي بايست غير معتبر قلمداد شود و تغيير يابد.
• با وجود اينكه محتواي Hearbeat رمز شده است ولي در پروتكل OpenSSL قابل تشخيص است كه منجربه شناسايي آن توسط IDS/IPS ها مي گردد. تا زمانيكه Heartbeat بطوركامل در ترافيك مسدود نگردد، با مانيتورينگ ترافيك و مقايسه سايز بسته هاي درخواست و پاسخ امكان شناسايي اين حمله وجود دارد. IDS/IPS ها تنها قادر به شناسايي بوده و امكان مسدود سازي حمله را ندارند.
• اطلاعات مالي، شخصي، پست الكترونيك، مستنداتي كه توسط اين متد رمز شده اند مي بايست توسط ارايه دهنده سرويس به روز شده و به كاربران سرويس اطلاع داده شود.