Vẫn quay cuồng với lỗi bảo mật Heartbleed và OpenSSL
- Diem Do
Một nhà nghiên cứu vừa phát hiện một lỗ hổng bảo mật khác trong thư viện mật mã OpenSSL. Nó cho phép các kẻ tấn công giải mã, sửa đổi Web, email và lưu lượng network cá nhân ảo được bảo vệ bởi giao thức bảo mật tầng truyền tải (TLS), phương pháp được sử dụng rộng rãi hầu hết trên Internet cho việc mã hóa lưu lượng trao đổi qua lại giữa người dùng cuối và các máy chủ.
Các khai thác thông qua giao thức TLS chỉ làm việc khi lưu lượng được gởi đi hoặc nhận lại bởi một máy chủ đang chạy OpenSSL 1.0.1 và 1.0.2-beta1, những người bảo trì của thư viện mã nguồn mở được cảnh báo trong một lần tư vấn được công bố vào thứ 5 vừa qua. Cuộc tư vấn tiếp tục diễn ra cho rằng các máy chủ đang chạy trên phiên bản mới hơn 1.0.1 nên cập nhật để đề phòng. Các lỗ hổng bảo mật đã và đang tồn tại kể từ phiên bản phát hành lần đầu tiên của OpenSSL từ 16 năm trước đó. Các lần cập nhật thư viện sẵn có trên trước trang của website OpenSSL. Những ai đang quản lý các máy chủ chạy trên OpenSSL nên cập nhật càng sớm càng tốt.
Lỗ hổng bảo cơ bản được phân loại như CVE-2014-0224 nằm trong quy trình xử lý ChangeCipherSpec, qua lần xem xét tổng quan đươc công bố vào thứ ba vừa qua bởi Lepidum, lập trình viên phần mềm phát hiện ra lỗ hổng bảo mật và báo cáo riêng đến OpenSSL. Điều này làm cho các kẻ tấn công có thể quản lý sự kết nối giữa người dùng cuối và máy chủ để bắt buộc các khóa mật mã yếu trên các thiết bị client. Kẻ tấn công có thể khám phá các phá này để giải mã lưu lượng hay thậm chí có thể sửa đổi dữ liệu trước khi gởi nó đến đích.
“Quy trình xử lý ChangeCipherSpec của OpenSSL có một lỗ hổng bảo mật nghiêm trọng “, lời tư vấn của Lepidum đã chỉ rõ. “Lỗ hổng bảo mật này cho phép các nút trung gian độc hại để ngăn chặn dữ liệu được mã hóa và giải mã chúng trong khi bắt buộc các khách hàng SSL sử dụng các khóa yếu bị tiếp xúc vào các nút độc hại. Có những rủi ro của sự can thiệp với các khám phá về nội dung và các thông tin xác thực thông qua sự giao tiếp được mã hóa thông qua trình duyệt web, email, VPN, khi phần mềm sử dụng phiên bản bị ảnh hưởng của OpenSSL.”
Các thiết bị client dễ bị tổn thương, nhưng đối với các phiên bản của OpenSSL cũ hơn đang hoạt động thì không có vấn đề gì. Như đã chỉ rõ, các máy chủ dễ bị xâm nhập khi chạy phiên bản 1.0.1 và 1.0.2-bata1, theo lời khuyên của OpenSSL cho biết. Các cuộc tấn công chỉ có thể xảy ra khi cả 2 bên đang chạy phiên bản OpenSSL có thể dễ bị xâm nhập.
Trong khi đặc biệt nghiêm trọng với lỗ hổng bảo mật OpenSSL mới nhất không nghiêm trọng như lỗ hổng bảo mật Heartbleed được phát hiện vào 8 tuần trước đó. Đó là bởi vì các cuộc tấn công đang khám phá các lỗ hổng bảo mật mới trở nên khó khăn hơn để thực hiện và thường ít gây hại. Bất cứ ở đâu lỗ hổng bảo mật Heartbleed cho phép bất cứ ai gởi đi các gói độc hại sẽ buộc thiết bị bị xâm nhập tiết lộ mật khẩu, các khóa mật mã và các dữ liệu mang tính nhạy cảm cao, cuộc tấn công mới nhất chỉ bỏ qua việc mã hóa cho sự kết nối duy nhất có mục tiêu. Và chúng chỉ có thể được thực thi bởi một số người có một số mức độ kiểm soát thông qua các kết nối. Không có gì phải nghi ngờ, đây là một lỗ hổng bảo mật nghiêm trọng nhưng không phải là thảm họa bởi lỗ hổng bảo mật Heartbleed.
“Một tin tốt là các cuộc tấn công này cần một vị trí ‘man-in-the-middle’ chống lại nạn nhân và cho rằng các client phi-OpenSSL (như (IE, Firefox, Chrome trên Desktop và iOS, Safira v.v..) không bị ảnh hưởng “, Adam Langley, một kỹ sư phần mềm và mật mã đáng tôn trọng làm việc cho Google đã viết trong một bài phân tích công nghệ. “Không những vậy, tất cả các người dùng nên cập nhật”.
Riêng lời khuyên của OpenSSL cho rằng các bản cập nhật vào thứ 5 vừa qua đã sửa một vài lỗ hổng bảo mật khác cho phép các kẻ tấn công thực thi code độc hại từ xa trên các máy chủ và trên các thiết bị của người dùng cuối và các thiết bị bị đột nhập. Nghiêm trọng nhất trong số chúng là lỗ hổng bảo mật bộ nhớ trong các thực thi OpenSSL của thành phần DTLS và được phân loại là CVE-2014-0195. Nó đã được giới thiệu bởi lập trình viên chịu trách nhiệm bởi lỗi bảo mật Heartbleed.
Nguồn bài viết : arstechnica.com