10 Apr
2014

Phát hiện lỗ hổng bảo mật nghiêm trọng liên quan đến thư viện OpenSSL

Cập nhật lúc 10-04-2014 08:51 AM

Một số lưu ý quan trọng:
 
  • Chỉ có các máy chủ web sử dụng OpenSSL (Apache, Tomcat,...) mới có khả năng bị ảnh hưởng bởi lỗ hổng này. IIS không sử dụng OpenSSL nên sẽ không bị ảnh hưởng.
  • Chỉ có các phiên bản OpenSSL từ 1.0.1 đến 1.0.1f và 1.0.2beta1 là bị ảnh hưởng. Các phiên bản openSSL 0.9.x hoặc 1.0.1g không bị ảnh hưởng
  • Bạn muốn kiểm tra máy chủ mình có bị ảnh hưởng không? Hãy truy cập http://filippo.io/Heartbleed và nhập vào địa chỉ website để test (ví dụ ebanking.bank.com.vn). Cẩn thận hơn, từ dấu nhắc Shell của server Linux/Unix, gõ lệnh: openssl version để kiểm tra phiên bản của OpenSSL.
  • Bạn muốn fix lỗi nếu máy chủ của mình bị ảnh hưởng? Chỉ cần cập nhật OpenSSL lên phiên bản 1.0.1g
 

Heartbleed (tạm dịch: Trái tim rỉ máu, tên mã: CVE-2014-0160), tên gọi mang hình tượng "rò rỉ dữ liệu quan trọng" được giới an ninh mạng đặt tên một lỗi trong OpenSSL (*) ở cấp độ "cực kỳ nghiêm trọng". Và bất ngờ hơn, lỗi nguy hiểm trong OpenSSL vừa được phát hiện đã hiện diện hơn hai năm qua, cho phép bất kỳ ai trên Internet có thể "chạm tay" đến tên, mật khẩu, và nội dung bạn gửi đến một website tưởng chừng bảo mật.

 

 

Lỗi tiếp tay tin tặc lần mò vào bộ nhớ máy chủ, nơi lưu trữ những dữ liệu nhạy cảm của người dùng như thông tin cá nhân, tên tài khoản, mật khẩu và có thể bao gồm cả thẻ tín dụng.

Khai thác lỗi, kẻ tấn công có thể "nghe trộm" thông tin liên lạc giữa trình duyệt Web và máy chủ Web, đánh cắp trực tiếp dữ liệu từ các dịch vụ và người dùng, đồng thời có thể mạo danh các dịch vụ và người dùng.

Hơn 66% website trên toàn cầu sử dụng OpenSSL. Rất nhiều website vẫn còn sử dụng phiên bản cũ OpenSSL, mang nguy cơ bị tấn công khai thác lỗi Heartbleed.

Những nghiên cứu ban đầu cho thấy Heartbleed chỉ ảnh hưởng đến các phiên bản OpenSSL từ 1.0.1 đến 1.0.1f và bản 1.0.2 beta. Rất nhiều website vẫn còn đang vận hành với phiên bản OpenSSL cũ sẽ bị đe dọa bởi lỗi. Hàng loạt những website lớn đang tích cực cập nhật phiên bản OpenSSL 1.0.1gvừa được phát hành.

Chưa thể kiểm tra website nào đã bị làm "tổn thương" bởi Heartbleed hay chưa, chỉ có thể kiểm tra website có nguy cơ bị tấn công qua lỗi.

Danh sách các website "mắc nạn" có Yahoo.com, mạng chia sẻ ảnh Flickr và 500px, các cổng thông tin entrepreneur.com, slate.com, dịch vụ chuyển file wetransfer.com. Tuy nhiên, Google, YouTube, Amazon, Microsoft, Twitter và Facebook không bị đe dọa bởi Heartbleed (xem đầy đủ danh sách tại đây).

Một số thử nghiệm ban đầu công bố "đã lấy được tên tài khoản và mật khẩu Yahoo! thông qua lỗi Heartbleed". Ronald Prins từ hãng bảo mật Fox-IT công bố thử nghiệm qua Twitter. Một lập trình viên tên Scott Galloway còn lấy được đến 200 tài khoản Yahoo! trong 5 phút nhờ một đoạn mã khai thác lỗi Heartbleed tự động.

Phản hồi chính thức của Yahoo! trên CNET cho biết, công ty đã khắc phục lỗi trên các website chính của mình gồm Trang chủ Yahoo!, Yahoo! Search, Yahoo! Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr, và Tumblr. Công ty cho biết sớm khắc phục toàn bộ các website của mình.

Người dùng nên tạm ngưng giao dịch trực tuyến trong thời gian này.

Theo hãng nghiên cứu mạng Netcraft, đã có hơn 500.000 máy chủ trên thế giới bị ảnh hưởng bởi lỗi Heartbleed. Điều này đồng nghĩa hơn 500.000 website, bao gồm cả những website lớn đang "phơi mình" trước lỗi. Theo đó, đây là lý do vì sao các chuyên gia an ninh mạng đồng loạt khuyến cáo mọi người dùng Internet nên hạn chế tối đa giao dịch trực tuyến như mua sắm trực tuyến, đăng nhập tài khoản ngân hàng... hay thậm chí là đăng nhập vào email trong thời gian này.

Cuộc chạy đua vá lỗi trước khi thảm họa xảy ra với website của mình đang diễn ra từng giờ. Và người dùng nên cẩn trọng khi dùng Internet trong thời gian này.

Một lập trình viên, kiêm cố vấn bảo mật Filippo Valsorda đã phát hành một công cụ cho phép mọi người tự kiểm tra website muốn truy cập / sử dụng có bị đe dọa bởi lỗi Heartbleed hay không tại địa chỉ http://filippo.io/Heartbleed/. Các website cần nâng cấp OpenSSL 1.0.1g để tránh lỗi "Heartbleed". Riêng phiên bản OpenSSL 1.0.2 beta2 sẽ sớm được phát hành.

(*) OpenSSL là thư viện mã hóa nguồn mở (open-source), bảo vệ rất nhiều website trên mạng Internet, mã hóa dữ liệu nhờ bộ đôi SSL (Secure Sockets Layer) và TLS (Transport Layer Security), đồng thời cho phép tạo ra các khóa mã hóa RSA, DSA... Đặc điểm nhận dạng cơ bản SSL/TLS thể hiện qua biểu tượng "ổ khóa" màu vàng trên khung địa chỉ web trong trình duyệt, cho biết website đang bảo vệ dữ liệu truyền tải giữa bạn và nó đã được bảo vệ (địa chỉ bắt đầu bằng https:// thay vì http://).

Ngoài ra, bên trong hậu trường, TLS/SSL đóng vai trò như "người môi giới" trao đổi các khóa giải mã / mã hóa dữ liệu để trình duyệt web (từ phía người dùng) và máy chủ web "hiểu nhau", đồng thời đóng vai trò "người giám hộ", bảo vệ dữ liệu cá nhân giữa người dùng với website. OpenSSL giúp mọi người có thể nhờ cậy khả năng bảo vệ mã hóa từ SSL/TLS nhanh và dễ dàng.