黑客可利用“心臟流血”漏洞繞過V*N認證

　　北京時間 4 月 19 日上午我消息，研究人員剛剛發現了利用“心臟流血”漏洞的另外一種方式，黑客可以借此成功繞過多步認證措施，以及 V*N (虛擬專用網絡)的欺詐探測機制。

　　當 OpenSSL 的這一重大漏洞上周曝光后，外界對其主要危害的了解僅限于竊取用戶名、密碼和加密秘鑰。但研究人員最近證實，該漏洞還可以用于在廣泛使用的 OpenV*N 以及其他的 V*N 應用中竊取私鑰。

　　網絡安全研究公司 Mandiant 的研究人員周五表示，“心臟流血”漏洞已經被用于破壞 V*N 集中器，這種應用通常可以為用戶提供一種從外部訪問組織內部網絡的安全措施。這類設備通常需要在獲取訪問權限前進行多步認證。除了密碼外，還需要其他形式 的安全令牌。而“心臟流血”漏洞恰恰可以突破這一機制，黑客在該漏洞公布后不到一天，就研究出了這一進攻措施。

　　黑客并沒有嘗試通過密碼或加密秘鑰來入侵 V*N，而是著眼于目標集中器設定的會話令牌，這種集中器有很多都采用了存在漏洞的 OpenSSL 版本。黑客首先向 V*N 設備上的 HTTPS 網絡服務器發送畸形的“心跳”請求，由于受到攻擊的 V*N 設備都采用存在漏洞的 OpenSSL，因此黑客可以借此獲得擁有授權的用戶的活躍會話令牌。借助活躍會話令牌，攻擊者便可成功劫持多活躍用戶會話，并讓 V*N 集中器相信，攻擊者已經獲得合法授權。

　　通過對 IDS 簽名和 V*N 日志的分析，也可以證明此事的真實性。Mandiant 則在博客中表示，由于 OpenSSL 已經深深植根于互聯網的各個角落，所以該漏洞的危害極大，目前還無法判斷究竟有多少方法可以利用這種漏洞。(鼎宏)

                    <span id="shareA4" class="fl">                          </span>                 </div>