OpenSSLのHeartbleed脆弱性に関する私的まとめ

2018年2月18日

 

Heartbleed

※2014/04/14修正
・「ロードバランサー」という記述を「SSLアクセラレータ」に修正。
・脆弱性検査サイトに「QUALYS SSL LABS」を追記。

大騒ぎになっている OpenSSL の Heartbleed脆弱性問題。

こういった問題は、「インターネットの終わり」論調から「現実的に悪用するのはタイヘン」論調まで百家争鳴状態になってしまうことが多々あるので、以下は自分で理解するための私的メモです。

OpenSSLの脆弱性で想定されるリスク – めもおきば を大変参考にさせていただきました。ありがとうございます。

脆弱性の詳細

  • 対象となるOpenSSL のバージョン
    • 1.0.1/1.0.2系
    • Heartbeat拡張における脆弱性。
    • 1.0.0までは Heartbeat拡張の実装がないので問題自体がない。
  • TLS1.2のハンドシェーク中に発生する脆弱性。
    • OpenSSLの脆弱性で想定されるリスク – めもおきば
    • つまりコネクション確立する前なのでWebサーバレベルのアクセスログには残らない。パケットレベルのログを取っていれば残ると思うが通常運用状態でそこまでログを採っているサーバはあまりないかと…。
  • 今回の脆弱性をついて攻撃者がサーバで実行されているプロセスのメモリ内の情報が取得可能になる。
  • サーバがメモリ上に保持している秘密鍵の漏洩の可能性がある。
  • SSL通信中の情報が漏洩する可能性がある。
  • 正しいSSL証明書を持った偽サーバを立ち上げることが可能。
    • SSLの重要の役割の1つに「今接続しているかサイトが本物かどうか証明する」という役割があるが、これが崩壊する。
    • 偽サーバを立ち上げても、クライアントに偽のDNS情報も渡す必要があるため、攻撃者がDNSサーバをいじれる状態かDNSキャッシュポイズニングなどでDNSの情報を偽装する必要はある。

対象となるアプリケーション

利用者側の対策

  • 今の状態だと利用者側の対策は「使わない」以外できないと思わる。
  • 自分が使おうとしているサイトについてどのような状態か知る必要がある。
    • 過去も今も脆弱性の影響はない
      • 過去も今も影響を受けていなければ問題なくそのまま利用可
    • 過去も今も脆弱性の影響がある場合
      • 対策は「アクセスしない」しかないかも…。
    • 過去影響を受けていたが現在は対策済み
      • パスワード等の機微な情報の変更をする。
  • 自分が使おうとしているサイトにて脆弱性の情報が公開されていなければ、脆弱性があるかどうかの診断サイトを使うという方法もある。
  • この脆弱性に便乗した攻撃にも気をつける必要がある。

リンクいろいろ

NET

Posted by toshyon