1       事件概述

2014年4月7号谷歌工程师NeelMehta发现了名为“心脏滴血”的openssl漏洞，该漏洞在互联网界引发了腥风血雨，让很多世界知名互联网公司为之一颤。国内一些知名互联网企业顿时陷入了兵荒马乱之中，几乎所有的安全公司、安全队伍都陷入忙碌状态，很多大型公司无一幸免。甲方公司紧急进行openssl版本升级，关闭核心关键业务进行补丁修复；乙方公司日夜奋战对openssl进行补丁升级、漏洞复测、新环境部署、新环境上线等；做黑产的黑客们也在积极进行资料收集，拿取更多的敏感数据，更好的开展黑产业务；而做为各大src平台，被白帽子提交的漏洞更是呈现刷屏状态。

在过去几年里心脏滴血的漏洞一直在发生，从未间断过，以下是某个src平台心脏滴血漏洞情况：

从上图分析可看到，心脏滴血漏洞分布在金融、大型互联网商城、知名企业、运营商等行业。我们通过对往年历史数据进行分析比对，发现知名厂商占比例35%如华为、中兴、盛大等厂商占有较高比例，其次是互联网平台占比例30%如淘宝、腾讯、艺龙旅行、网易等，在者是金融领域占比例为20%如宜信贷、招商证券等，比重较小的是运营商占有比例是15%如移动等运营商。可想而知心脏滴血设计范围不管是在横向还是纵向都是很广的。

当心脏滴血漏洞爆发后，政府、企业、金融等各行各业都在尽快进行漏洞整改，尽管如此，由于每个行业对漏洞的了解程度不同，安全团队的水平不同，所以整改的进度也不尽相同。此处我们根据掌握的数据对漏洞的修复时间做了统计分析如下：

从饼状图可见，多数安全公司或甲方完成漏洞修复都用了至少4小时，恶意攻击者完全可通过这4个小时的时间获取到系统的足够多敏感数据。

2       漏洞原理分析

在了解到了心脏滴血漏洞带来的巨大风波后，我们在重温下漏洞是由什么所引发。为了增强网站的安全性，多数网站采用了ssl的传输方式，对传输中的数据做加密处理，尤其是在网银、在线支付、电网网站、门户网站、电子邮件等系统。Openssl 作为多数ssl加密使用的开源软件包，自然应用广泛，根据Alexa排名前百万的网站35%支持ssl，在支持https的网站中9%存在该漏洞。

TLS协议又称为安全传输协议，用于在两个通信应用程序之间提供保密性和数据完整性。此次漏洞存在于心跳检测中，当用户通过TSL进行加密连接时，发起Client Hello询问，用于检测服务器是否正常在线，服务器会返回Server Hello，以此表明正常建立ssl通信，每次进行询问时都会附加一个询问字符长度pad length，当pad length大于实际长度时，服务器还是会返回同样的字符信息，由此造成了内存信息越界访问。攻击者可利用该漏洞远程读取服务器内64k的数据，可通过这些数据获取当前用户的用户名、密码、cookie等敏感信息，虽然只是64k的数据，但是恶意攻击者可进行多次的64k数据读取，从而获取系统服务器大量信息。

3       近期漏洞统计情况

Openssl的心脏滴血漏洞已经过去了多年，如今再次对漏洞进行统计分析，发现当前仍然存在大量系统采用含有漏洞的openssl版本。通过利用exp对漏洞（cve-2014-0160）进行探测发现当前仍然有近15万系统存在心脏滴血漏洞，具体漏洞分布图如下

在对获取的数据做进一步分析，可获取到漏洞的分布情况，此处选取了top10的国家，根据不完全统计我国仍然存在1.4万的系统存在该漏洞，位居统计排名第二。

具体在看下当前都是哪些服务或应用在调用openssl，由统计图可见多数是https调用了openssl的组件。

在对应用所在的服务器进行分析发现，服务器系统多数是采用了linux系统，部分使用的是windows系统。

综合所获取的数据进行分析，不难发现虽然漏洞已经过去了这么久，但是依然存在大量应用还在使用存在漏洞的openssl版本，未进行漏洞修复或版本升级。这些应用还存在被恶意攻击者获取数据的风险，黑客可利用这些漏洞获取大量数据。

4       安全建议

此次分析主要是回顾了openssl心脏滴血漏洞，通过此次分析不难发现，一个完整的应用系统从源码编写到插件的调用再到中间件的选择最后到承载应用的服务器，每个环节都可能存在漏洞，而一旦这些弱项被攻击者利用后果不可设想。所以代码的的自查、实时更新以及组件的定期打补丁升级都是必要的。要做到未雨绸缪，而不是等到漏洞爆发，造成一定损失才想到去加固，才想到日常安全运维的重要性。安全源自于运维人员平时工作的点点滴滴，安全无小事，时刻警惕着，做到防患于未然。

关注我们

对web安全有兴趣的小伙伴可以关注或加入我们，TideSec安全团队(http://www.TideSec.net)：

来源：freebuf.com 2019-03-18 09:45:18 by: TideSec