一、CVE-2014-0160漏洞背景

2014年4月7日OpenSSL發布了安全公告，在OpenSSL1.0.1版本中存在嚴重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模塊存在一個BUG，問題存在于ssl/dl_both.c文件中的心跳部分，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy函數把SSLv3記錄之后的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中多達64K的數據。

[[111279]]

在目前已有的資料中，國內外同行已經稱本漏洞為 “擊穿心臟”、“毀滅級”、“今年最嚴重”的漏洞。由于SSL協議是網絡加密登陸認證、網絡交易等的主流安全協議，而OpenSSL又是主流的SSL搭建平臺。因此這些稱呼好不為過，建議各網絡服務提供者、管理機構和用戶高度注意本漏洞的處理情況，希望廣大用戶做出相應的對策。

二、OpenSSL受影響版本的分布

根據已經公開的信息，該漏洞影響分布情況如下。

OpenSSL 1.0.1f (受影響)

OpenSSL 1.0.2-beta (受影響)

OpenSSL 1.0.1g (不受影響)

OpenSSL 1.0.0 branch (不受影響)

OpenSSL 0.9.8 branch (不受影響)

三、處置建議

1、針對網絡管理員，可以做的事情包括

鑒于本漏洞的嚴重程度，如果確定本漏洞存在，對一般性的網絡服務者，暫停服務進行處置是一種較好的應對策略。

如果確定本漏洞存在，又必須保證服務不能停止，可以在漏洞修補過程中，暫時停止https服務，改用http服務，但這會帶來相關認證信息明文傳輸的風險，具體利害需要做出謹慎的判斷權衡。

具體修補方式為：

OpenSSL版本升級到最新的1.0.1g

重新生成你的私鑰

請求和替換SSL的證書

也可以使用-DOPENSSL_NO_HEARTBEATS參數重新編譯低版本的OpenSSL以禁用Heartbleed模塊

最新版本升級地址為：https://www.openssl.org/source/. (OpenSSL官方)

2、針對普通網絡用戶，我們鄭重提出的建議包括

鑒于本漏洞的嚴重程度，在不能確定你所網站和服務修補了本漏洞的情況下，在未來2~3天內(2014年4月9日日起)不登陸，不操作是一種較好的應對策略(這些操作包括網購、網銀支付等)。

如果你必須進行操作，可以關注這些網站和服務的修改情況。

一些手機客戶端的登陸，是對SSL的封裝，因此手機登錄也不安全。

其他安全企業團隊會公布目前仍有問題的站點、或沒有問題的站點情況，請予以關注。

四、分析與驗證

目前該漏洞的利用和驗證腳本已經可以被廣泛獲取，地址包括。

http://fi****o.io/Heartbleed/ (web測試頁面)

http://s3. ****guin.org/ssltest.py (python腳本)

http:// **.* u u.com/s/1nt3BnVB (python腳本)

盡管從安全團隊的角度，我們不適宜明文傳播這些地址，但我們必須提醒用戶的是，幾乎所有的攻擊者都已經擁有了相關資源，在過去24小時內，這一漏洞已經遭到了極為廣泛的探測和嘗試。相信大多數有漏洞的站點均遭到了不止一次的攻擊。

鑒于該漏洞的嚴重程度和攻擊爆發事件，我們不得不打破搭建環境，測試驗證的管理，

在第一時間，選擇相對“輕量級”的網站做出直接驗證，以分析其實際后果敏感信息。通過網絡中已有的測試方法，我們尋找到幾個存在問題的網站進行分析，為了避免行為失當，我們沒有選擇與金融、交易相關的站點。

存在問題的網站地址：

Ap***.*****.gov.cn (測試時間為2014-04-09 01:00)

my-****.in (測試時間為2014-04-09 01:10)

www.shu****.cn (測試時間為2014-04-09 01:15)

git****.com (測試時間為2014-04-09 01:20)

feng*****.com (測試時間為2014-04-09 01:30)

獲取回來的相關信息情況如下：

圖 1 測試網站1

通過漏洞利用工具發送數據后，返回的數據中可以看到有內網IP地址、路徑等信息。

圖 2 測試網站2

通過漏洞利用工具發送數據后，返回的數據中可以看到有APP信息、cookie信息和用戶名信息等。

圖 3 測試網站3

通過漏洞利用工具發送數據后，返回的數據中可以看到有手機號碼等。

圖 4 測試網站4

通過漏洞利用工具發送數據后，返回的數據中可以看到有信箱和密碼等信息。

通過上面的幾個網站的分析測試，發現該漏洞確實可以獲取到帶有敏感信息的內存內容。例如：用戶的cookie信息、內網IP地址、用戶名、密碼、手機號、信箱等。如攻擊者利用此漏洞對網絡交易、證券、銀行等網絡進行攻擊，那么將會獲取到用戶名、密碼、銀行賬號等敏感信息。再次提醒網站管理員和使用SSL協議連接網站的用戶請盡快按照我們的處置建議進行操作。

五、網絡檢測相關方法

通用Snort規則檢測

由于眾所周知的SSL協議是加密的，我們目前沒有找到提取可匹配規則的方法，我們嘗試編寫了一條基于返回數據大小的檢測規則，其有效性我們會繼續驗證，如果有問題歡迎反饋。

alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleed attack";flow:to_server,established; content:"|18 03|"; depth: 3; byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid:20140160; rev:2;)

Snort規則說明：此次漏洞主要針對的SSL協議。是針對心跳數據包前4個字節中包含\x18\x03，而在數據包第5個字節和第6個字節的數值按大尾模式轉化成數值在200和16385之間，在后面則是一些報警和過濾功能，日志記錄里，每10分鐘記錄一次。

行為檢測

從公共網絡管理者的角度，可以從同一IP短時間探測多個443端口的網絡連接角度進行檢測。這樣可以發現攻擊者或肉雞的大面積掃描行為。

另外由于攻擊者可能定期性的進行數據持續獲取，也可以從連接持續規律的時間性和首發數據數量的對比的角度進行檢測。

其他

是否相關攻擊的主機痕跡和取證方式，我們正在驗證。