I. CVE-2014-0160 脆弱性の背景
II. OpenSSL の影響を受けるバージョンの配布
公表されている情報に基づくと、脆弱性の影響の分布は以下の通り。
OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.1g
OpenSSL 1.0.0 ブランチ
OpenSSL 0.9.8 ブランチ
III.処分に関する推奨事項
1.ネットワーク管理者の場合、以下のことが可能です。
この脆弱性の重大性を考慮すると、この脆弱性が存在すると判断された場合、一般的なネットワークサービスプロバイダーでは、廃棄のためのサービス停止がより良い対応策となります。
もし、この脆弱性が存在することが確実であり、かつ、サービスが停止しないことを保証する必要がある場合は、 脆弱性パッチの適用作業中に https サービスを一時的に停止し、代わりに tp サービスを利用することも可能ですが、この場合、認証情報が明示的に送信されるリスクが発生するため、具体的なメリットとデメリットを慎重に判断する必要があります。
具体的な修正点は
OpenSSLのバージョンが最新の1.0.1gにアップグレードされました。
秘密鍵の再生成
SSL証明書のリクエストと交換
最新バージョンは https://..../ce/.
2.一般的なネットワークユーザーに対する鄭氏の提言は以下の通り。
この脆弱性の深刻さを考慮すると、ウェブサイトやサービスにパッチが適用されていることを確認していない場合は、今後2~3日間はログインせず、操作しないことが、この脆弱性に対処するためのより良い戦略です。
操作する必要がある場合は、これらのサイトやサービスの変更に従うことができます。
モバイルクライアントの中には、SSLでカプセル化されたログインを持つものもあるため、モバイルログインも安全ではありません。
他の Security Enterprise チームが、まだ問題が発生しているサイトや発生していないサイトの状況を発表する予定ですので、ご期待ください。
IV.分析と検証
この脆弱性に対するエクスプロイトと検証スクリプトは、現在、以下のアドレスで広く公開されています。
http://fi ****./ed/。
http://s3. ****guin.org/ssltest.py
http:// **.* u u.com/s/1nt3BnVB
セキュリティ・チームの観点からは、これらのアドレスを明示的に広めることは適切ではありませんが、ほとんどすべての攻撃者が関連するリソースをすでに持っていること、そしてこの脆弱性は過去24時間に非常に広く調査され、試みられていることを、ユーザは再認識する必要があります。ほとんどの脆弱なサイトは、複数回攻撃されていると思われます。
脆弱性の深刻さと攻撃の発生を考えると、ビルド環境の管理、テスト、検証を中断せざるを得ませんでした。
まず、機密情報に対する実際の結果を分析するために、比較的「軽い」サイトを選んで直接検証を行いました。いくつかの問題のあるサイトは、ウェブ上の既存のテスト方法を通じて分析用に特定され、不正行為を避けるために金融や取引に関連するサイトは選択されませんでした。
問題のあるウェブサイトのアドレス
マイ*****.イン
git****.com
風*****.com
関連情報の入手状況は以下の通り:
図1 テストサイト1
エクスプロイトツールを介してデータを送信した後、返されたデータにはイントラネットのIPアドレスやパスなどの情報が含まれています。
図2 テストサイト2
エクスプロイトツールを介してデータを送信した後、返されたデータはAPP情報、クッキー情報、ユーザー名情報として見ることができます。
図3 テストサイト3
エクスプロイト・キットを介してデータを送信した後、返されたデータから携帯電話番号などを確認することができます。
図4 テストサイト4
エクスプロイトツールを使ってデータを送信すると、返されたデータからメールボックスやパスワードなどの情報を見ることができます。
上記のいくつかのウェブサイトの分析とテストを通じて、脆弱性は確かに機密情報を含むメモリコンテンツを取得できることがわかりました。例えば、ユーザーのクッキー情報、イントラネットのIPアドレス、ユーザー名、パスワード、携帯電話番号、メールボックスなど。もし攻撃者がこの脆弱性を利用してネットワーク取引、証券、銀行、その他のネットワークを攻撃すれば、ユーザー名、パスワード、銀行口座番号、その他の機密情報を取得することになります。もう一度、ウェブマスターやウェブサイトに接続するためにSSLプロトコルを使用しているユーザーは、できるだけ早く処分勧告に従うことを忘れないでください。
V. ネットワーク・テストに関する方法
汎用Snortルール検出
よく知られているSSLプロトコルは暗号化されているので、一致するルールを抽出する方法を見つける方法はありません、返されたデータのサイズに基づいて検出ルールを書いてみてください、そして、その有効性は検証され続けます、問題がある場合は、フィードバックを歓迎します。
alert tcp $EXTERNAL_NET any -> $HOME_NET 443
Snortルール解説:本脆弱性の主な標的はSSLプロトコルです。ハートビートパケットの最初の4バイトに"˶x18x03 "が含まれており、5バイト目と6バイト目のビッグエンドモードの値が200と16385の間の値になっているパケットで、10分ごとに記録されるアラームとフィルタリング機能、ロギングの背面にあります。
行動検出
公衆ネットワーク管理者の観点からは、同一IPからの複数のポート443ネットワーク接続を短時間プローブするという観点から検知することができます。これにより、攻撃者やブロイラーの大規模なスキャン行動を検知することができます。
また、攻撃者は定期的に継続的なデータ取得を行っている可能性があるため、接続継続パターンの時間性や初回データ数の比較という観点からも検知することができます。
その他
ホストのトレースと攻撃が関連するかどうかのフォレンジックは検証中です。
