OpenSSL lại dính lỗi bảo mật giúp tin tặc thay đổi nội dung thông tin

09:13 | 09.06.2014

Trong số 6 lỗi bảo mật thuộc thư viện mã nguồn mở Open SSL vừa được phát hành bản vá ngày 5/6/2014, lỗi nghiêm trọng nhất là CVE-2014-0224 - cho phép tin tặc theo dõi và thay đổi nội dung được trao đổi giữa máy chủ và máy trạm.

Ông Hà Thế Phương, Giám đốc Bảo mật CMC Infosec, cho biết: CVE-2014-0224 là một lỗ hổng ảnh hướng đến giao thức SSL và TLS của bộ thư viện OpenSSL, cho phép kẻ tấn công theo dõi và thay đổi nội dung thông tin được trao đổi giữa máy chủ và máy trạm.

Kẻ tấn công có thể khai thác lỗ hổng này khi thỏa mãn 2 điều kiện: cả máy trạm và máy chủ sử dụng OpenSSL đều có lỗ hổng này; kẻ tấn công phải có khả năng đứng giữa máy trạm và máy chủ để có thể sửa các gói tin truyền đi giữa máy trạm và máy chủ.

lổ hổng OpenSSL

Không nghiêm trọng bằng lỗ hổng "Trái tim rỉ máu" tháng trước nhưng lỗ hổng mới của OpenSSL cũng thuộc diện khá nguy hiểm. Ảnh minh họa. Nguồn: Intermet.

Theo kịch bản tấn công, tin tặc sẽ chờ đợi một kết nối TLS mới, tìm cách cài đặt lại một quy tắc mã hóa yếu, đàm phán lại thông số rồi giải mã hoặc thay đổi nội dung của thông tin.

Các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2014-0224 được chia thành 2 loại gồm: các phiên bản cho máy trạm là 0.9.8, 1.0.0, 1.0.1,và phiên bản cho máy chủ  là 1.0.1, 1.0.2-beta1.

Tính đến thời điểm hiện tại, OpenSSL Foundation đã phát hành bản vá hoàn chỉnh cho CVE-2014-0224 và hối thúc người dùng cập nhật bản vá sớm nhất có thể.

"Dù rằng CVE-2014-0224 không nghiêm trọng bằng lỗ hổng Heartbleed (trái tim rỉ máu) xuất hiện tháng trước, nhưng sau hàng loạt sự vụ đối với OpenSSL, giới chuyên môn cũng như doanh nghiệp cũng cần phải cái nhìn khác về tầm quan trọng của thư viện mã nguồn mở này  để có những đầu tư thích hợp trong tương lai", đại diện CMC Infosec khuyến nghị.