SSL这张网络的防护网在"心脏流血"漏洞后再次被攻破。研究人员发现,黑客利用OpenSSL漏洞把VPN给劫持了。过去大家觉得SSL漏洞只会泄露用户名、密码和加密密钥,现在发现黑客盯上了VPN集中器发出的“会话令牌”。攻击者把HTTPS“心跳”请求给构造得很畸形,用OpenSSL的漏洞直接把令牌偷走了。拿到令牌后,攻击者能随时冒充合法用户登录。所以企业VPN采用的“密码+令牌+双因子”认证法,因为令牌直接嵌在OpenSSL库里,所以就不安全了。就算有多重认证也挡不住。Mandiant在日志里找到了证据,被攻击的VPN集中器日志显示同一个IP反复发起心跳请求。IDS系统也捕获到了异常流量模式,这一切都指向OpenSSL漏洞。OpenSSL已经渗透到了从网页服务器到IoT设备的各个角落,只要设备版本低就会有风险。为了自救,企业必须检查所有的OpenVPN和SSL-VPN集中器部署点,确认OpenSSL版本。对关键入口启用白名单加上硬件令牌双重校验也是必要措施。另外还要部署入侵检测系统来拦截畸形心跳包。 总结一下,“心脏流血”漏洞不再只是数据泄露事件,它升级成了跨安全域移动的武器。所以企业和研究者必须要同步提速修补漏洞、重审认证逻辑、加固边界防护才能避免进一步的损失。