https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

網安設備、App 恐有Heartbleed漏洞 企業應全面檢測

2014 / 04 / 21
張維君
網安設備、App 恐有Heartbleed漏洞 企業應全面檢測
在4月7日傳出的OpenSSL Heartbleed漏洞問題遠比想像中嚴重,台灣除了部分網站更新修復速度慢之外,根據資安專家指出,會使用OpenSSL函式庫的除了Https, pop3s, smtps之外,還包括作業系統如Android 4.1.1版本、各種網通設備,如防火牆、VPN、負載平衡等,尤其若是VPN設備沒有修復此漏洞,可導致駭客進到企業內部網路,因此不只是有經營會員管理的網站需注意更新修補,所有IT人員都應盡速檢測自己內網設備是否含有此漏洞。

DEVCORE執行長翁浩正在HITCON分享會中指出,在4/16的統計,台灣有開Port 443且有用OpenSSL的有33,522台機器,其中是1.0.1版本有此Heartbleed漏洞的有2,424台,這些網站的SSL金鑰、使用者帳密、Session等資料均已暴露在高風險中。如果是0.9.8版本的雖然不會有此漏洞,但也會有之前的BEAST漏洞,因此還是呼籲IT管理者要盡速更新,更新方式請見

除了網站之外,更要注意的是許多網通、網路安全設備皆有使用OpenSSL函式庫作為遠端連線管理使用,此漏洞一傳出,許多廠商已陸續發佈更新,網路設備廠商公告整理請見。但若是企業的網路安全設備沒有簽訂維護合約,應盡速與原廠聯繫。資安專家也建議,IT管理者最好使用script將內網所有伺服器一台一台去檢測或者利用Nessus來掃描。

此外,由於Heartbeat封包是雙向的,因此用戶端所執行的apps若有OpenSSL用於TLS連線,那就可能存在風險。趨勢科技指出全球已有6千個App受影響,尤其若是金融交易、網路購物相關的app若沒盡速修復,使用者的信用卡等個資都將有外洩風險,使用者可下載趨勢科技「安全達人」app檢測。