Lỗ hổng bảo mật OpenSSL mới không nguy hiểm như Heartbleed

Cách khai thác thành công lỗ hổng bảo mật mới trong giao thức OpenSSL hoàn toàn khác biệt với Heartbleed.


Hai tháng sau khi xảy ra lỗi bảo mật nghiêm trọng nhất của Internet mang tên Hearbleed, nay nhóm dự án mã nguồn mở OpenSSL lại tiếp tục cảnh báo một lỗ hổng bảo mật mới trong giao thức này cho phép kẻ xấu thực hiện các cuộc tấn công đánh cắp dữ liệu người dùng theo dạng nghe lén (man-in-the-middle).


Một số chuyên gia về bảo mật cho rằng lỗ hổng bảo mật mới trong giao thức OpenSSL tuy không nghiêm trọng như "vụ" Heartbleed; song không thể không đưa ra những lời cảnh báo tới người dùng Internet. Johannes Ullrich, người đứng đầu chương trình theo dõi mức độ hoạt động nguy hiểm trên Internet (Internet Storm Center) của học viện SANS Institute cho rằng lỗ hỗng bảo mật mới dù không nguy hiểm và chưa cần thiết phải gấp rút đưa ra các bản vá, nhưng trong thời gian tới sẽ phải sớm được giải quyết khi các nhà cung cấp nhận thức được những tác động xấu đến các sản phẩm của mình.



Theo một số phân tích gần đây, lỗ hổng bảo mật mới cơ bản chỉ là một lỗi bảo mật trong giao thức OpenSSL và hoàn toàn không liên quan đến việc mã hóa Web hay SSL. Nói rõ hơn, đây là một cuộc tấn công man-in-the-middle, có nghĩa là một kênh thông tin liên lạc an toàn sẽ trở nên nguy hiểm vì kẻ tấn công đánh cắp dữ liệu sẽ xuất hiện ở giữa để đánh chặn và sửa đổi các thông tin truyền tải giữa 2 máy. Dĩ nhiên, cả 2 máy sử dụng cùng những phiên bản OpenSSL sẽ có khả năng bị tấn công cao. Các cuộc tấn công OpenSSL thường xảy ra trên những máy tính hoạt động như một máy chủ cung cấp dịch vụ hoặc những client. Tuy nhiên, số lượng client bị tấn công thường ít hơn. Ngày nay, nhiều giải pháp VPN cũng sử dụng giao thức OpenSSL như OpenVPN cũng sẽ trở thành những mục tiêu có nguy cơ bị tấn công cao. May mắn là việc cập nhật phiên bản OpenSSL mới nhất trong hệ thống VPN của người dùng và restart kết nối VPN có thể ngăn chặn các cuộc tấn công đánh cắp dữ liệu này. Thậm chí nếu thiết bị đầu cuối của kết nối VPN chưa được vá lỗi, nhưng máy chủ VPN ngắt kết nối để cập nhật bản vá lỗi, kết nối VPN khởi tạo lại sau đó sẽ vẫn được bảo đảm an toàn.


Sở dĩ lỗ hổng bảo mật OpenSSL mới hoàn toàn khác biệt và không nguy hiểm như Heartbleed là vì những cuộc tấn công OpenSSL thường đòi hỏi kết nối của cả 2 bên, trong khi kẻ tấn công đứng giữa “cuộc đàm thoại” này. Chỉ cần một trong hai đầu người dùng được cập nhật bản vá lỗi, lỗ hổng bảo mật này sẽ được giải quyết. Ngược lại, Hearbleed cho phép kẻ tấn công truy cập đến các khóa bí mật và giải mã tất cả các dữ liệu đã được mã hóa. Chính vì chìa khóa bí mật để đảm bảo an toàn không còn bảo đảm bí mật nữa, nên việc thay đổi mật khẩu thường xuyên của người dùng cũng trở nên vô hiệu.


Có thể nói, dù không thực sự nguy hiểm, nhưng lỗ hổng bảo mật OpenSSL mới có thể sẽ trở thành một thảm họa mới nếu như không nhận được đủ sự quan tâm. Vì phần lớn những thiệt hại xảy đến là do sự thiếu quan tâm và nguồn lực thích đáng.









Lo hong bao mat OpenSSL moi khong nguy hiem nhu Heartbleed


Cach khai thac thanh cong lo hong bao mat moi trong giao thuc OpenSSL hoan toan khac biet voi Heartbleed.


Hai tháng sau khi xay ra loi bao mat nghiêm trong nhat cua Internet mang tên Hearbleed, nay nhóm du án mã nguon mo OpenSSL lai tiep tuc canh báo mot lo hong bao mat moi trong giao thuc này cho phép ke xau thuc hien các cuoc tan công dánh cap du lieu nguoi dùng theo dang nghe lén (man-in-the-middle).


Mot so chuyên gia ve bao mat cho rang lo hong bao mat moi trong giao thuc OpenSSL tuy không nghiêm trong nhu "vu" Heartbleed; song không the không dua ra nhung loi canh báo toi nguoi dùng Internet. Johannes Ullrich, nguoi dung dau chuong trình theo dõi muc do hoat dong nguy hiem trên Internet (Internet Storm Center) cua hoc vien SANS Institute cho rang lo hong bao mat moi dù không nguy hiem và chua can thiet phai gap rút dua ra các ban vá, nhung trong thoi gian toi se phai som duoc giai quyet khi các nhà cung cap nhan thuc duoc nhung tác dong xau den các san pham cua mình.



Theo mot so phân tích gan dây, lo hong bao mat moi co ban chi là mot loi bao mat trong giao thuc OpenSSL và hoàn toàn không liên quan den viec mã hóa Web hay SSL. Nói rõ hon, dây là mot cuoc tan công man-in-the-middle, có nghia là mot kênh thông tin liên lac an toàn se tro nên nguy hiem vì ke tan công dánh cap du lieu se xuat hien o giua de dánh chan và sua doi các thông tin truyen tai giua 2 máy. Di nhiên, ca 2 máy su dung cùng nhung phiên ban OpenSSL se có kha nang bi tan công cao. Các cuoc tan công OpenSSL thuong xay ra trên nhung máy tính hoat dong nhu mot máy chu cung cap dich vu hoac nhung client. Tuy nhiên, so luong client bi tan công thuong ít hon. Ngày nay, nhieu giai pháp VPN cung su dung giao thuc OpenSSL nhu OpenVPN cung se tro thành nhung muc tiêu có nguy co bi tan công cao. May man là viec cap nhat phiên ban OpenSSL moi nhat trong he thong VPN cua nguoi dùng và restart ket noi VPN có the ngan chan các cuoc tan công dánh cap du lieu này. Tham chí neu thiet bi dau cuoi cua ket noi VPN chua duoc vá loi, nhung máy chu VPN ngat ket noi de cap nhat ban vá loi, ket noi VPN khoi tao lai sau dó se van duoc bao dam an toàn.


So di lo hong bao mat OpenSSL moi hoàn toàn khác biet và không nguy hiem nhu Heartbleed là vì nhung cuoc tan công OpenSSL thuong dòi hoi ket noi cua ca 2 bên, trong khi ke tan công dung giua “cuoc dàm thoai” này. Chi can mot trong hai dau nguoi dùng duoc cap nhat ban vá loi, lo hong bao mat này se duoc giai quyet. Nguoc lai, Hearbleed cho phép ke tan công truy cap den các khóa bí mat và giai mã tat ca các du lieu dã duoc mã hóa. Chính vì chìa khóa bí mat de dam bao an toàn không còn bao dam bí mat nua, nên viec thay doi mat khau thuong xuyên cua nguoi dùng cung tro nên vô hieu.


Có the nói, dù không thuc su nguy hiem, nhung lo hong bao mat OpenSSL moi có the se tro thành mot tham hoa moi neu nhu không nhan duoc du su quan tâm. Vì phan lon nhung thiet hai xay den là do su thieu quan tâm và nguon luc thích dáng.


Lỗ hổng bảo mật OpenSSL mới không nguy hiểm như Heartbleed

Cách khai thác thành công lỗ hổng bảo mật mới trong giao thức OpenSSL hoàn toàn khác biệt với Heartbleed.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá