CVE-2014-0160漏洞背景

2014年4月7日OpenSSL發布了安全公告，在OpenSSL1.0.1版本中存在嚴重漏洞（CVE-2014-0160），此次漏洞問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl服務器內存中長大64K的數據。

OpenSSL受影響和不受影響版本

對此我們給出如下建議

最新版本升級地址為：https://www.openssl.org/source/. （OpenSSL官方）

分析與驗證

在該漏洞發布的第一時間我們對此漏洞進行了分析與驗證是否能夠獲取一些敏感信息。漏洞發布的同時攻擊可利用的腳本也已經在網絡中流傳。下面漏洞利用腳本的下載地址：

http://filippo.io/Heartbleed/ （web測試頁面）

http://s3.jspenguin.org/ssltest.py  (python腳本)

http://pan.baidu.com/s/1nt3BnVB  (python腳本)

通過網絡中已有的測試方法，我們對存在問題的幾個網站進行測試，分析確定該漏洞確實可被攻擊者拿到一些敏感信息。測試過程如下：

apply.szsti.gov.cn  （測試時間為2014-04-09 02:00）

my-card.in                （測試時間為2014-04-09 02:00）

www.shuobar.cn     （測試時間為2014-04-09 02:00）

gitcafe.com             （測試時間為2014-04-09 02:00）

fengcheco.com       （測試時間為2014-04-09 02:00）

獲取回來的敏感信息截圖如下：

獲取敏感信息有內網IP地址、路徑等。

獲取敏感信息有APP信息、cookie信息和用戶名信息等

獲取敏感信息是手機號碼等。

獲取敏感信息是QQ信箱和密碼等。

測試的地址如是一些交易、證券、銀行等，是可以獲取到更多的敏感信息。在次提醒廣大用戶近早更新您的OpenSSL的版本或是根據我們的建議進行處理。

網絡檢測Snort規則

alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)

此次漏洞主要針對443端口的SSL協議。回包在16385字節，此規則是一個通用規則。