Cộng đồng xã hội vẫn chưa hết dư chấn về sự kiện lỗ hổng "trái tim rỉ máu" (Heartbleed) trong OpenSSL làm giới ngân hàng lao đao về khả năng mất an toàn giao dịch trực tuyến thì OpenSSL lại tiếp tục "dính" thêm một lỗi an toàn thông tin rất nghiêm trọng khác có tên “TLS heartbeat read overrun”, cũng liên quan tới "trái tim" (heartbeat có thể tạm dịch là nhịp đập trái tim).

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), ngày 7/4/2014, tổ chức cung cấp bộ thư viện OpenSSL đã xác nhận chính thức về lỗi an toàn thông tin có tên “TLS heartbeat read overrun” cho phép tin tặc từ xa có thể đánh cắp các dữ liệu nhạy cảm (như khóa bí mật - private keys) trong bộ nhớ khi tấn công các dịch vụ có sử dụng giao thức bảo mật tầng vận chuyển “TLS/DTLS heartbeat extension” do bộ thư viện OpenSSL cung cấp.

VNCERT đánh giá đây là một trong các lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.

VNCERT đánh giá “TLS heartbeat read overrun” là một trong những lỗi an toàn thông tin rất nghiêm trọng. Ảnh minh họa. Nguồn: Internet.

Tuy mới được công bố nhưng điểm yếu trên có khả năng ảnh hưởng rất lớn đến an toàn, bảo mật của các hoạt động giao dịch điện tử trên mạng, vì giao thức TLS được dùng phổ biến trong nhiều ứng dụng khác nhau, kể cả trong giao thức HTTPS. Các công cụ khai thác điểm yếu này đã xuất hiện trên mạng Internet và có khả năng bị tin tặc sử dụng dò quét tự động nên khả năng gây hại là rất lớn.

Danh sách các phiên bản thư viện OpenSSL có điểm yếu an toàn thông tin “TLS/DTLS heartbeat read overrun” cũng đã được công bố công khai gồm: các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f. Phiên bản mới nhất hiện tại 1.0.1g là bản nâng cấp và đã được vá lỗi cho dòng 1.0.1.x.

Mới đây, hãng Codenomicon cũng đã công bố một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), OpenSSL 1.0.1e-2+deb7u4; Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11; CentOS 6.5, OpenSSL 1.0.1e-15; Fedora 18, OpenSSL 1.0.1e-4; OpenBSD 5.3 (OpenSSL 1.0.1c ngày 10/5/2012) và 5.4 (OpenSSL 1.0.1c ngày10/5/2012); FreeBSD 10.0, OpenSSL 1.0.1e ngày 11/2/2013; NetBSD 5.0.2, OpenSSL 1.0.1e; OpenSUSE 12.2, OpenSSL 1.0.1c.

Theo khuyến cáo của VNCERT, để biết được hệ thống có bị lỗi “TLS heartbeat read overrun” hay không, các cơ quan, tổ chức cần thực hiện lệnh “openssl version”, sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.

Cách tốt nhất để khắc phục lỗi “TLS heartbeat read overrun” là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu ATTT “TLS heartbeat read overrun”.

Theo Ictnews.vn