科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全以为Heartbleed完蛋了吗?还没有——仍有成千上万的设备有漏洞

以为Heartbleed完蛋了吗?还没有——仍有成千上万的设备有漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一年多以前曝光的HeartBleed,到现在还没有被完全补救,但到现在仍有20多万的互联网连接设备受其威胁。物联网爬虫揭示有风险的设备和计算机分布图。

来源:ZD至顶网安全频道 2015年9月16日

关键字: Heartbleed 安全漏洞 网络安全

  • 评论
  • 分享微博
  • 分享邮件

 

臭名昭著的HeartBleed安全漏洞一年多以前曝光,但到现在仍有20多万的互联网连接设备受其威胁。

上述事实来自Shodan。Shodan是一款搜索工具(除搜索外还能做其他事),用于寻找物联网(IoT)连接设备。创始人John·Matherly贴出他的公司制成的一张分布图,显示了全球许多存在该漏洞的设备的分布:

供参考: 互联网上仍有20多万设备存在Heartbleed漏洞

以为Heartbleed完蛋了吗?还没有——仍有成千上万的设备有漏洞

John Matherly 推特achillean

2015年9月15号,下午4:44

 

Heartbleed在2014年被发现时曾引起小小的恐慌。该漏洞使得攻击者可以利用OpenSSL软件库的弱点从目标设备中提取密码等敏感信息。

后来查明问题的来源是缺少边界检查,有心人可以重复地从服务器的内存中请求获取64KB的数据块,从而获得如加密密钥和口令等私密的东西,。

虽然网民争相更新自己的软件以解决该漏洞,但一年多过去了,成千上万的设备依然存在风险,究其原因,有些是因为人们不知道漏洞的事,另外一个原因很简单,有些设备根本无法打补丁,或是即便可以打补丁但实现非常困难。

20多万有漏洞的设备中,有57,272件在美国。德国位居第二,有21,060件 Heartbleed漏洞设备,中国有11300件。法国居第4位,有10,094件,其次是英国,有9,125件。

安全顾问Graham Cluley指,“显然,一些厂商和IT团队已经撒手不管这事了,他们没有及时更新存有漏洞的系统。”

“我敢打赌,挂在互联网上的设备总会有些有Heartbleed漏洞。”

Matherly指,管理员可以用他的Shogan搜索工具检查自己的连接设备,看看是不是有些设备仍然有Heartbleed漏洞。除了更新OpenSSL以外,专家建议管理员采取进一步的安全措施,如改变密钥并对会话Cookie进行转储处理等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章