Một lỗ hổng an ninh rất nghiêm trọng trong phần mềm OpenSSL vừa được phát hiện cách đây 24 tiếng, lỗ hổng này có thể dẫn đến những rủi ro an ninh cực kỳ nghiêm trọng như lộ chìa khóa mã hóa (Cryptographic Key) và các dữ liệu mật đã được mã hóa trong mọi hệ thống, mọi ứng dụng HTTPS.

OpenSSL là giải pháp triển khai mã nguồn mở của hai giao thức SSL và TLS, thư viện lõi chịu trách nhiệm thực thi các chức năng mã hóa SSL và TLS. Heartbleed phá vỡ hoàn toàn công năng mã hóa thông tin dữ liệu của SSL & TLS.

 

OpenSSL-Heartbleed-vulnerability-CVE-2014-0160

 

Hầu hết tất cả các máy chủ Web ở Việt Nam ngày nay đều sử dụng SSL và TLS nhằm phục vụ việc mã hóa dữ liệu quan trọng như thông tin tài khoản đăng nhập, thông tin giao dịch ngân hàng... Đảm bảo thông tin truyền đi không bị tiết lộ một cách trái phép, tất cả các ứng dụng Web quan trọng đều sử dụng OpenSSL như Cổng Thông Tin Điện Tử, các trang ngân hàng điện tử Internet Banking, các trang hệ thống thư điện tử cấp tỉnh, cấp quốc gia...

Vì lý do đó thông tin về lỗ hổng Heartbleed được phát đi khắp toàn cầu với cấp độ cảnh báo khẩn, đây là một cơn ác mộng đối với các chuyên gia an toàn an ninh thông tin trên toàn thế giới.

Bkzfa9oCIAAcuu4.png large

Heartbleed được phát hiện bởi các kỹ sư an ninh của Google, lỗ hổng này tồn tại trong thư viện phần mềm mã hóa OpenSSL dẫn đến việc Hacker có thể đánh cắp thông tin đã được mã hóa bảo vệ bởi SSL (Secure Sockets Layer) hoặc TLS (Transport Security Layer).

HEARTBLEED BUG
Người phát hiện ra lỗ hổng đã đặt tên cho nó là 'Heartbleed bug', do việc khai thác tập trung vào phần mở rộng TLS/DTLS Heartbeat (RFC6520) của OpenSSL.

Lỗ hổng nghiêm trọng này đã được gán mã số ID CVE-2014-0160, cho phép kẻ tấn công có thể đọc được 64kB trong bộ nhớ của máy chủ hoặc một máy tính đang vận hành phiên bản OpenSSL bị lỗi. Nói một cách dễ hiểu, thông qua lỗ hổng này kẻ tấn công có thể đánh cắp được các chìa khóa mã hóa private keys, mật khẩu và các thông tin bí mật từ xa (remotely).

"Chúng tôi đã thử nghiệm lỗ hổng này trên một số dịch vụ của khách hàng dưới góc độ của một kẻ tấn công, việc thử nghiệm này đã được khách hàng cho phép. Chúng tôi đã thực hiện tấn công từ xa mà không để lại bất kỳ một dấu vết. Thông qua việc khai thác, chúng tôi có thể đánh cắp được Secret Keys đã sử dụng cho X.509 Certificates (HTTPS), Usernames và Passwords, Emails và các tài liệu văn bản bí mật."

Lỗ hổng Heartbleed cho thấy việc đánh cắp được các chìa khóa mã hóa có thể dẫn đến những sự thỏa hiệp khác, 10 trong số 1000 sites nổi tiếng nhất thế giới đều bị ảnh hưởng bởi lỗ hổng này bao gồm Yahoo Mail, Lastpass và FBI site.

Tại Việt Nam, DNA đã thử nghiệm và ghi chép lại số liệu dưới sự cho phép của khách hàng hơn 10 trang Cổng Thông Tin Điện Tử, Hộp Thư Điện Tử và 8 trang ngân hàng điện tử Internet Banking tất cả đều bị ảnh hưởng lỗ hổng này, đồng thời đều đã được DNA hỗ trợ khắc phục vá lỗ hổng.

PATCHING HEARTBLEED OPENSSL VULNERABILITY

Để khắc phục lỗ hổng Heartbleed, quý khách hàng có thể liên hệ trực tiếp với DNA thông qua email: This email address is being protected from spambots. You need JavaScript enabled to view it. để DNA được hỗ trợ quý khách càng sớm càng tốt hoặc xem qua bài hướng dẫn sau để thực hiện công tác khắc phục lỗ hổng : http://dnasecurity.com.vn/vn/thu-vien/chuyen-trang-pentest/9-core/276-va-lo-hong-heartbleed-openssl.html


http://dnasecurity.com.vn/images/ceh/ceh.jpg

Liên hệ DNA

 

Mobile  +84 (28) 38 266 877
  +84 (28) 39 401 619

 

Location  DNA Headquarter
  60 Nguyễn Đình Chiểu

  F1 Rosana Tower, Quận 1
         TP.Hồ Chí Minh, Việt Nam