Header Ads

Breaking News
recent

ผ่านมา 3 ปี กว่า 200,000 เว็บไซต์ยังคงมีช่องโหว่ Heartbleed

Shodan ผู้ให้บริการ Search Engine สำหรับอุปกรณ์​ IoT ออกรายงานฉบับล่าสุด ระบุว่า หลังจากที่ช่องโหว่ Heartbleed บน OpenSSL ถูกค้นพบเมื่อเกือบ 3 ปีก่อน จนถึงตอนนี้ยังคงมีเว็บไซต์ที่มีช่องโหว่ดังกล่าวมากถึง 199,500 เว็บไซต์

Heartbleed (CVE-2014-0160) เป็นบั๊กที่ค้นพบบนการ Implementation ของ TLS/DTLS Heartbeat Extension บน OpenSSL ที่ช่วยให้แฮ็คเกอร์สามารถอ่านข้อมูลบางส่วนบน Memory ของ Web Server ได้ เสี่ยงข้อมูลส่วนบุคคลที่เป็นความลับรั่วไหลสู่ภายนอก Heartbleed เรียกได้ว่าเป็นหนึ่งในช่องโหว่ขนาดใหญ่ที่สุดในประวัติศาสตร์อินเทอร์เน็ต เนื่องจากส่งผลกระทบมากถึง 2 ใน 3 ของ Web Server ทั่วโลก หรือคิดเป็นประมาณมากกว่า 500,000 เซิร์ฟเวอร์

รายงานจาก Shodan ระบุว่า หลังจากที่ช่องโหว่ Heartbleed ถูกเปิดเผยเมื่อเดือนเมษายน 2014 ที่ผ่านมา จนถึงตอนนี้ยังคงมี Web Server มากถึง 199,500 เซิร์ฟเวอร์ที่ยังคงมีช่องโหว่ Heartbleed อยู่ เนื่องจากเซิร์ฟเวอร์เหล่านั้นยังไม่ได้ทำการอัปเดตแพทช์ของ OpenSSL จากการตรวจสอบพบว่า ประเทศที่ได้รับผลกระทบที่สุด ณ ตอนนี้ คือ สหรัฐฯ (42,032 เว็บไซต์) ตามมาด้วย เกาหลี (15,380 เว็บไซต์) จีน (14,116 เว็บไซต์) และเยอรมนี (14,072 เว็บไซต์)

สำหรับองค์กรที่เสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ Heartbleed มากที่สุด คือ SK Broadband และ Amazon.com ที่น่าจะตกใจคือ ประมาณ 75,000 เซิร์ฟเวอร์ที่มีช่องโหว่รันบน Linux 3.x และใช้ SSL Certificates ที่หมดอายุ

Heartbleed ถือได้ว่าเป็นภัยคุกคามที่แฮ็คเกอร์รู้จักดี และนิยมใช้เพื่อเจาะระบบ Web Server เนื่องจากยังมีอีกหลายแสนเว็บไซต์ที่ยังไม่ทำการแพทช์เพื่ออุดช่องโหว่ สำหรับวิธีป้องกันระบบจากช่องโหว่ Heartbleed สามารถทำได้ 3 ขั้นตอน ดังนี้

อัปเดตแพทช์ – อัปเดตซอฟต์แวร์ OpenSSL ให้เป็นเวอร์ชันล่าสุด ซึ่งส่วนใหญ่หลายองค์กรจัดการขั้นตอนนี้ไปแล้ว
สร้าง Private Key ชุดใหม่ – การสร้าง Private Key ใหม่ช่วยป้องกันไม่ให้แฮ็คเกอร์ที่แอบเจาะระบบก่อนทำการแพทช์ ไม่สามารถแอบดูข้อมูลขององค์กรได้อีกต่อไป
ออก Certificate ด้านความมั่นคงปลอดภัยใหม่ – ขั้นตอนนี้มีไว้เพื่อป้องกันไม่ให้แฮ็คเกอร์ปลอมเป็นองค์กรของเรา เพื่อหลอกหรือโจมตีแบบ Phishing ใส่ลูกค้า
ที่มา: http://thehackernews.com/

No comments:

Powered by Blogger.