Chyba s názvem Heartbleed (CVE-2014–0160) byla veřejnosti odhalena 7. dubna 2014. Jednalo se o chybu v knihovně OpenSSL od verze 1.0.1 až do verze 1.0.1f včetně. Chybná verze knihovny dovolovala vyčíst data z paměti aplikace. V té se může nacházet spousta citlivých informací včetně přihlašovacích údajů nebo třeba privátních klíčů. Podrobně jsme celý problém rozebrali v článku Heartbleed bug: vážná zranitelnost v OpenSSL.
Oprava byla vydána zároveň s oznámením a mnoho významných vývojářů bylo varováno předem. Některé firmy proto záplatovaly ještě o několik dní dříve než se o problému dozvěděla média a veřejnost. Většina velkých webů byla už dva dny po zveřejnění záplatována, některé své uživatele vyzvaly ke změně hesla.
Po více než měsíci bylo napadnutelných jen něco přes 12 tisíc stránek z žebříčku Alexa, ve kterém figuruje 800 000 nejnavštěvovanějších webů. To je asi 1,5 % webů z této statistiky. Přesto je zřejmé, že tyto weby sice tvoří většinu návštěvnosti, ale jde jen o zlomek z celkového počtu webových serverů vystavených do internetu.
Po třech letech
Jsou to přibližně tři roky a je tu nová statistika: stále je napadnutelných přibližně 200 000 zařízení. Informace vychází z měření služby Shodan, která skenuje internet a dokáže podat informaci o otevřených portech a použitých službách. Takto je možné zjistit, jaká verze knihovny OpenSSL na daném serveru běží.
Počet zranitelných serverů už přitom dlouho klesá jen velmi pomalu. Podobné měření totiž proběhlo už v květnu 2014, kdy bylo naměřeno přes 318 000 děravých instalací. Poté bylo v listopadu 2015 Shodanem změřeno 238 000 zranitelných serverů, v březnu 2016 pak číslo mírně kleslo na 237 539. Nyní ukazuje 199 594. V Česku máme 1284 serverů s nezáplatovaným OpenSSL.
John Matherly, šéf projektu Shodan, tvrdí, že mezi hříšníky figurují i takové firmy jako Amazon, Verizon Wireless, německý poskytovatel připojení Strato, OVH, 1&1 Internet a americký telekomunikační gigant Comcast. Poznámka: SK Broadband je jihokorejský poskytovatel připojení.
Mezi nejčastěji nezabezpečené služby patří web server Apache (hlavně verze 2.2.22 a 2.2.15), přičemž nejčastěji je využíván Linux s jádrem 3.x, následovaný verzí 2.6.x a Windows 7 a 8. Ohroženy jsou ale řady dalších aplikací, jako je web server Nginx, konfigurační rozhraní firewallů FortiGate, DD-WRT nebo služba Kerio Connect.
Dá se očekávat, že jde o služby, o které se nikdo pořádně nestará a neudržuje je záplatované. Ukazuje to i fakt, že velká část certifikátů na těchto službách již expirovala. Pokud správci nevadí ani tento fakt, pravděpodobně mu nevadí ani děravé OpenSSL nebo na server jednoduše zapomněl.
Bylo dokázáno, že chyba je zneužitelná a posloužila pravděpodobně k ukradení lékařských záznamů 4,5 milionů pacientů. Pokud provozujete nějaké služby vystavené do internetu, podívejte se, jestli tam nestraší tři roky stará knihovna, která byla dávno záplatována.
ČLÁNKY DO MAILU