微信号:infoqchina

介绍:有内容的技术社区媒体

“心脏出血”漏洞一周年全球普查:大陆仍有四成IP未修复

2015-04-12 09:02 知道创宇



编者按:

距“心脏出血”漏洞曝出已有一年时间,虽然漏洞初现引发的恐慌早已散去,但因对漏洞响应不及时、持续响应能力差所造成的破坏却仍没有结束。截止2015年4月7日,全球仍有超过37万的IP漏洞尚未被修复。


本内容授权转载自ZoomEye 团队报告《“心脏出血”漏洞一周年全球普查》。


概述


2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSL Heartbeat 模块存在一个 Bug,攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSL Heartbleed)”漏洞。


ZoomEye 团队在“心脏出血”漏洞爆发一周年的时间节点,对全网 IP 进行了回归性普查,发现,虽然受影响 IP 已经降低到了 1 年前的 14.6%,但仍有较大量(377,221)的 IP 漏洞并未修复。


回顾


“心脏出血”漏洞绝对称得上是互联网的史诗级漏洞,可以由以下数据进行说明:


1.波及面最广

ZoomEye 团队分别对 HTTPS(443)、IMAPS(993)、SMTPS(465)、POP3S(995)进行全网扫描过程中,发现受影响 IP 数量为 2,590,351 个(此为针对 4 协议未去重 IP 总量,去重后总量为 2,433,550 个),其地理分布如下图:


2014 年“心脏出血”漏洞全球影响分布

(点击查看大图)


按照漏洞影响协议:


2014 年“心脏出血”漏洞受影响协议分布


按照受影响国家/地区 TOP 25:


2014 年“心脏出血”漏洞受影响国家/地区 TOP 25


2.影响厂商最多

受影响的 IP 中不乏 FaceBook、Yahoo!、淘宝、支付宝、京东等国内外知名网站,同时,大批网络设备诸如 Cisco 路由器,甚至 Juniper 防火墙、网御神州 VPN 网关等安全设备也纷纷上榜;


3.响应最迅速

ZoomEye 对全网存在该漏洞 IP 进行持续关注,以 3 天为节点,发现全球平均修复率达到了惊人的 40%,而我国的修复率仅为 18%,全球排名仅为 102 名,基本垫底,需要努力提高;


2014 年“心脏出血”漏洞三天内,周边和欧美 20 个国家/地区修复率


一周年数据分析


“心血漏洞”历经一年的攻防对抗,在它“生日”的特殊日子里, ZoomEye 团队对它进行了一次回归性普查扫描,新旧数据对比,得到了很多启示,具体数据如下:

对 HTTPS(443)、IMAPS(993)、SMTPS(465)、POP3S(995) 进行全网扫描,发现受影响 IP 数量为 377,221 个,未修复率仅为 14.6%,地理分布如下图:


2015 年“心脏出血”漏洞全球影响分布


按照受影响协议:


2015 年“心脏出血”漏洞受影响协议分布


按照受影响国家/地区 TOP 25:


2015 年“心脏出血”漏洞受影响国家/地区 TOP 25


进行部分抽样检测发现,FaceBook、Yahoo!、淘宝、支付宝、京东等国内外知名网站该漏洞修复比例很高,未发现相关漏洞站点。


“心脏出血”一周年,各国持续响应速度:


2015 年“心脏出血”漏洞三天内,周边和欧美 16 个国家/地区修复率


总结


经过一周年前后,新旧数据对比分析,可以得到如下启示:

全球修复率较高,一年的时间,全球受影响 IP 数量仅为爆发时的 14.6%;


协议依赖性明显,受影响 IP 中,HTTPS(443)两次占比都超过 50%;


西方发达国家修复率高于发展中国家,从前后两次“受影响国家/地区 TOP25”来看,由于西方发达国家 IP 资源比较丰富(如美国 IP 地址就占全球近 1/3),所以 14 年统计的 TOP25,较多来自西方发达国家;而经过一年的持续性修复,可以看到,15 年统计的 TOP25,出现了较多的发展中国家(如中国、俄罗斯、印度,巴西等);


较大规模站点对安全更为重视,通过抽样检测,FaceBook、Yahoo!、淘宝、支付宝、京东等国内外知名网站未发现相关漏洞。


我国持续响应能力依然需要努力提高,虽然从最初的 18% 的修复率,上升到了 59.9%,但是对比于韩国(69.5%)、俄罗斯(78.0%)、香港(81.8%)、台湾(95.6%)以及日本(99.0%),网络空间的安全防御能力依然令人担忧。


鉴于已经留给相关站点的安全工程师足够的修补时间,为了提高网络空间的安全防御能力,我们在“阅读原文”中放出 1000 个受影响 IP,希望能够唤起相关人员的安全意识。



 
InfoQ 更多文章 Facebook如何实现PB级别数据库自动化备份 学术派Google软件工程师Matt Welsh谈移动开发趋势 Spotify为什么要使用一些“无聊”的技术? 妹纸们放假了,汉纸们做啥? 大多数重构可以避免
猜您喜欢 程序员面试的标准答案并不标准 遍插茱萸少一人 闭嘴吧,冒名顶替综合症们,我太会编程了 Python 框架介绍 Java编程性能优化一些事儿