欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

以为Heartbleed完蛋了吗?还没有――仍有成千上万的设备有漏洞

来源:本站整理 作者:佚名 时间:2015-09-18 TAG: 我要投稿

 臭名昭著的HeartBleed安全漏洞一年多以前曝光,但到现在仍有20多万的互联网连接设备受其威胁。

上述事实来自Shodan。Shodan是一款搜索工具(除搜索外还能做其他事),用于寻找物联网(IoT)连接设备。创始人John·Matherly贴出他的公司制成的一张分布图,显示了全球许多存在该漏洞的设备的分布:

供参考: 互联网上仍有20多万设备存在Heartbleed漏洞

John Matherly 推特achillean

2015年9月15号,下午4:44

Heartbleed在2014年被发现时曾引起小小的恐慌。该漏洞使得攻击者可以利用OpenSSL软件库的弱点从目标设备中提取密码等敏感信息。

后来查明问题的来源是缺少边界检查,有心人可以重复地从服务器的内存中请求获取64KB的数据块,从而获得如加密密钥和口令等私密的东西,。

虽然网民争相更新自己的软件以解决该漏洞,但一年多过去了,成千上万的设备依然存在风险,究其原因,有些是因为人们不知道漏洞的事,另外一个原因很简单,有些设备根本无法打补丁,或是即便可以打补丁但实现非常困难。

20多万有漏洞的设备中,有57,272件在美国。德国位居第二,有21,060件 Heartbleed漏洞设备,中国有11300件。法国居第4位,有10,094件,其次是英国,有9,125件。

安全顾问Graham Cluley指,“显然,一些厂商和IT团队已经撒手不管这事了,他们没有及时更新存有漏洞的系统。”

“我敢打赌,挂在互联网上的设备总会有些有Heartbleed漏洞。”

Matherly指,管理员可以用他的Shogan搜索工具检查自己的连接设备,看看是不是有些设备仍然有Heartbleed漏洞。除了更新OpenSSL以外,专家建议管理员采取进一步的安全措施,如改变密钥并对会话Cookie进行转储处理等

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载