4月8日晚,国际著名安全协议OpenSSL爆出重大安全漏洞——"Heartbleed(心脏流血)"漏洞。通过该漏洞,黑客可轻易的获取用户、密码等隐私信息、欺骗用户访问钓鱼网站造成用户的大量隐私数据被盗。
OpenSSL作为网络通信提供安全及数据完整性的一种安全协议,是业内最为通用的加密协议之一,目前在各大网银、电子商务网站、在线支付、在线邮箱服务等众多互联网服务里广泛应用。该协议如此广泛的应用也使得此次爆出的漏洞对整个互联网用户的日常业务操作造成了较大影响。
在OpenSSL协议中包含的heartbeat选项,让SSL连接一端的计算机发出短信息来确认计算机仍处于联网状态并获得回复。此次爆出的漏洞使黑客可发送伪装的恶意heartbeat信息诱使连接另一端的计算机泄露信息,读取内存中64K大小的内容,通过对这些内容的模式匹配和整理,黑客可找到密钥、密码以及众多个人信息。其中,加密密钥的失窃将直接导致黑客可以伪装服务端,诱使用户泄露所有的账号密码和其他敏感信息,考虑到基于HTTPS的访问往往在用户眼中代表安全访问,用户很可能不加防备的将信用卡信息、个人隐私信息等重要信息发送给黑客,从而造成进一步的重大损失。
在获悉该漏洞信息后,华三通信迅速启动紧急响应机制,采取以下举措:
1、针对旗下全系列产品进行测试验证,以明确该漏洞对华三通信自身产品(包括基于HTTPS管理登录方式以及SSL VPN产品)所造成的影响:经过严格测试验证,华三通信旗下所有产品均不受该漏洞影响,广大用户无需针对现网华三通信产品进行改动。
2、安全攻防团队立即针对该漏洞开发应用层防护特征,并于4月9日即在公司官网IPS(入侵防御产品)特征库专区发布特征升级版本,为华三通信 IPS用户第一时间提供防护能力,特征库更新版本号为:SEC-IPS-R1.2.276_EN
