Przedwczoraj została ujawniona, istniejąca od dwóch lat, krytyczna luka bezpieczeństwa w OpenSSL, nazwana Heartbleed. Pozwala ona atakującemu na zdalny dostęp do pamięci procesu korzystającego z OpenSSL. W efekcie tego ujawnieniu mogą ulec takie dane jak loginy, hasła oraz klucze prywatne certyfikatów SSL. Na szczęście w naszym wypadku wszystkie główne usługi okazały się niepodatne na ten rodzaj ataku.

Open SSL - luka HeartbleedInformujemy, że nasz zespół jest od początku świadomy istnienia i skutków problemu, a także, że – jak większość firm – korzystamy z OpenSSL. Po weryfikacji okazało się, że nasze systemy w większości nie były podatne na ten błąd. W nielicznych obszarach, w których stwierdziliśmy podatność (dokładniej: związanych z infrastrukturą niedawno przejętej firmy Webhost.pl), niezwłocznie dokonaliśmy aktualizacji podatnej biblioteki.

W tej chwili należy przyjąć, że cała nasza platforma jest bezpieczna, jeśli chodzi o podatność Heartbleed w OpenSSL.

Klienci przejętej firmy zostali powiadomieni indywidualnie o fakcie, że przez jakiś czas konfiguracja ich serwera umożliwiała teoretycznie przechwycenie haseł i zalecono ich zmianę. Nawet jednak po zmianie hasła warto poznać główne zagrożenia i zalecenia.

Główne zagrożenia

  1. Narażone są osoby, które korzystają w wielu miejscach z tego samego hasła, lub haseł tworzonych wg takiego samego schematu – istnieje wysokie prawdopodobieństwo, że hasło mogło zostać przejęte w serwisie podmiotu trzeciego.
  2. Jeśli zakupione certyfikaty SSL były wykorzystywane poza serwerami z platformą i panelem Blink/Ogicom, należy je uznać za potencjalnie skompromitowane. Doradzamy w tej sytuacji kontakt z administratorem serwera, na którym były one używane.
  3. Możliwy jest atak poprzez wysłanie resetu hasła na skrzynkę pocztową utrzymywaną w firmie trzeciej, po uprzednim uzyskaniu przez atakującego dostępu do tej skrzynki.

W związku z tym zalecamy

  1. Dla każdej usługi (niekoniecznie posiadanej u nas): upewnienie się, że dana platforma nie jest obecnie podatna na atak Hearbleed, a następnie zmianę hasła.
  2. Korzystanie z trudnych haseł, różnych dla różnych serwisów.
  3. Okresową wymianę haseł. Powszechność wykorzystania oprogramowania OpenSSL i skala problemu jest dobrym powodem do wymiany wszystkich haseł, niezależnie od podatności danej platformy.
  4. Uznanie kluczy SSL używanych poza naszą platformą za prawdopodobnie skompromitowane i podjęcie stosownych działań.
  5. W razie korzystania przez Ciebie z usług typu root VPS / serwer dedykowany root, gdzie konfiguracja usług zależy od Ciebie – zalecamy niezwłoczną aktualizację systemu oraz biblioteki Open SSL.