300,000 máy chủ vẫn đang “rỉ máu”

Hơn một tháng qua kể từ khi tất cả chúng ta đều được cảnh bảo về lỗ hổng báo mật nghiêm trọng Heartbleed trên OpenSSL, nhưng điều này không có nghĩa là lỗ hổng này đã biến mất. Lỗ hổng quan trọng này đã xâm nhập vào rất nhiều website và sau khi được phát hiện, các cơ quan tổ chức đã công bố rằng lỗ hổng này đã được khắc phục. Nhưng điều này có đúng chăng?

Không, không hẳn là như vậy, theo kết quả mới đây từ nhà nghiên cứu bảo mật Robert David Grabam cho biết rõ ràng vẫn còn có hơn 300,000 máy chủ bị tấn công bởi lỗ hổng Heartbleed trên OpenSSL, lỗ hổng này được thừa nhận rằng số lượng các máy chủ bị tấn công bởi lỗ hổng Heartbleed đã giảm xuống khi chúng gây ra hậu quả cho hơn 600,000 hệ thống một tháng trước.

Graham tuyên bố trên blog Erata Security rằng anh thu thập đươc con số trên thông qua một lần rà quét internet toàn cầu gần đây, điều này cho thấy chính xác 318,239 hệ thống vẫn còn bị nhiễm lỗ hổng Heartbleed trên OpenSSL và hơn 1.5 triệu máy chủ vẫn còn  tính năng “heartbeat” nguy hại trên OpenSSL cho phép lỗ hổng quan trọng này xâm nhập.

Graham viết trên blog : “Những con số này có chút gì đó không bình thường. Năm ngoái, tôi phát hiện ra 28 triệu hệ thống hỗ trợ SSL, nhưng tháng này tôi chỉ thấy còn 22 triệu.Tôi nghi ngờ lý do là tại thời điểm đó, mọi người đã phát hiện ra “ các tấn công” lỗ hổng Heartbleed và tự động ngăn chặn tôi trước khi hoàn tất rà quét. Hoặc một vấn đề khác có thể là do đường truyền Internet bị tắc nghẽn  từ nhà cung cấp sẽ làm giảm những con số này. ( Tôi thực sự cần làm một điều gì đó tốt hơn để tìm ra vấn đề này)”

Heartbleed là một lỗ hổng nghiêm trọng trên thư viện phần mềm mã hóa OpenSSL thực chất nằm bên trong triển khai mã nguồn mở giao thức TLS (các giao thức an toàn tầng vận chuyển)  và DTLS (Datagram TSL) heartbeat extension (RFC6520).

Các con số thậm chí có thể sẽ lớn hơn vì những con số được đề cập bên trên chỉ là những trường hợp đã được xác nhận. Graham có thể đã thoát khỏi các hệ thống khác để ngăn chặn các thư rác hoặc các thiết lập không chính thống của OpenSSL. Nhưng thật sự quá bất ngờ vì sau khi những lỗ hổng Heartbleed hiện có được khắc phục, thì con số này lại tăng lên.

Ông viết: “Năm ngoái, tôi phát hiện thấy 1 triệu hệ thống đang sử dụng tính tăng “heartbeat” (một phần ba trong số đó đã được vá). Tại thời điểm này, tôi phát hiện ra 1.5 triệu hệ thống đang sử dụng tính năng “heartbeat” nhưng có hơn 300 nghìn hệ thống chưa được vá. Từ đó, tôi nhận thấy rằng kết quả  đầu tiên thu được con số như vậy là vì đã làm vô hiệu hóa heartbeat, và với kết quả thứ hai, khi người ta đã  khắc phục được phần mềm thì heartbeat lại được kích hoạt lại. Lưu ý rằng chỉ OpenSSL hỗ trợ heartbeats.”

Hiện nay, lỗ hổng này được phổ biến rộng rãi và tất cả mọi người đều biết, bất kì ai có thể sử dụng nó một cách đơn giản để thực hiện các cuộc tấn công vào các hệ thống bị ảnh hưởng, 300,000 hệ thống bị ảnh hưởng thực sự là một con số đáng báo động. Chúng ta có thể tưởng tượng ra nguy cơ và thiệt hại được gây  ra bởi lỗ hổng này nếu nó được khai thác.

Heartbleed là một lỗ hổng mã hóa lấy đi số lượng lớn khóa mã hóa và các dữ liệu cá nhân như tên người dùng, mật khẩu và số thẻ tín dụng, từ những website và các dịch vụ quan trọng nhất trên Internet tạo cơ hội cho các hacker, điều này đã khiến một số nhà nghiên cứu bảo mật cảnh báo người dùng Internet không nên sử dụng các trang web này hàng ngày cho đến khi vấn đề được giải quyết hoàn toàn.

Đa số các dịch vụ bao gồm những dịch vụ được nhiều người dùng đã được khắc phục bởi các máy chủ, nhưng đợt rà quét trên Internet toàn cầu mới này cho biết rằng tội phạm mạng  có thể vẫn sẽ gây ra nhiều thiệt hại cho những  dịch vụ không phổ biến hay kém hiệu quả. Khi các hacker xác định đươc máy chủ có thể bị gây hại, chúng có thể khai thác lỗ hổng Heartbleed để đánh cắp những dữ liệu nhạy cảm và những thông tin đời tư, lấy trộm mật khẩu trong quá trình truyền tin hoặc chặn các giao dịch để đánh cắp thông tin.

Các lỗ hổng phần mềm có thể đến và đi, nhưng lỗ hổng này là một lỗ hổng nghiêm trọng và lớn nhất trong lịch sử Internet, nó đã lấy đi nội dung bộ nhớ của máy chủ, nơi mà những dữ liệu nhạy cảm nhất được lưu trữ. Đợt rà quét này mới chỉ được tiến hành trên cổng 443 và Graham nói rằng ông sẽ cố gắng rà soát những các cổng SSL khác như là SMTP và ông sẽ cho đăng kết quả.

Theo The hacker news