HeartBleed 漏洞會暴露 OpenV*N 私鑰

HeartBleed心臟出血漏洞的影響范圍還在繼續擴大，上周人們以為Heartbleed僅僅是網站web服務器的噩夢，但是隨著時間的推移，Heartbleed對企業內網和數據安全的威脅才真正露出水面，造成的損失比web服務更大，而修復更加困難和漫長。

據Ars報道，近日研究者已經完成驗證攻擊，并多次成功從運行OpenV*N的V*N服務里提取到加密私鑰，這意味著Heartbleed漏洞會影響運行OpenV*N的V*N供應商。

OpenV*N是一種開源的V*N軟件，其默認加密庫就是OpenSSL。負責維護OpenV*N的開發者此前曾警告過OpenV*N會話中的私鑰會受到心臟出血漏洞影響。但是直到上周三，這種說法才被驗證，一家瑞典V*N服務的管理員Fredrik Str?mberg在一臺測試服務器上演示了Heartbleed攻擊。

Str?mberg指出，從 OpenV*N服務器上竊取私鑰要比從Web服務器上竊取私鑰難度更大，因為OpenV*N流量封裝在OpenV*N特定容器的加密HTTPS流量中，要 竊取私鑰需要先將OpenV*N數據包中的TLS數據分離開來。

為了重建私鑰，攻擊者需要利用漏洞反復向服務器發出請求，獲取大量內存數據，完成驗證試驗的Str?mberg拒絕透露所需獲取的數據規模的具體數字，但透露在1-10GB之間。Str?mberg還表示將不會公布或使用已經可以用于實際攻擊的攻擊驗證程序代碼。

Str?mberg的測試環境是：KVM虛機上的Ubuntu12.04 ，OpenV*N2.2.1和OpenSSL1.0.1。但Str?mberg表示他懷疑所有采用有漏洞的OpenSSL版本的OpenV*N都存在類似的漏洞。

對于很多采用OpenV*N的中小企業來說，一個好消息是啟用TLS傳輸層安全認證的OpenV*N服務不會受到影響，因為TLS認證采用了單獨的私鑰認證TLS數據包。(編者按：SSL/TLS本身的安全性問題也應當受到重視)

對于企業內網的信息安全管理者來說，Heartbleed漏洞的修復要更加漫長和困難，造成的損失也將比外部網站更大。Palo alto networks的安全工程師Rob Seger認為：幾乎內網中的所有web服務、FTP、VoIP電話、打印機、V*N服務器/客戶端都可能會受到這次Heartbleed漏洞影響，對于 大企業來說，其修復周期至少會長達4-5年。

此外，大量無法獲得廠商補丁更新的設備將不得不面臨淘汰。

更糟糕的是，Heartbleed對于企業數據泄露保護等安全管理的沖擊不亞于911對航空業安檢制度的影響。安全服務公司Foreground安 全管理服務總監George Baker認為，Heartbleed漏洞將迫使企業全面審查加強其內網使用SSL的安全基礎設施，從VoIP到V*N到打印機，與Heartbleed 有關的漏洞將使得企業數據面臨前所未有的高級攻擊、釣魚攻擊威脅。