Уязвимость Heartbleed нашли в роутерах
Критическую уязвимость в пакете OpenSSL, которая поставила под угрозу безопасность 66% сайтов, также обнаружили в роутерах Cisco Systems и Juniper Networks — крупнейших производителей оборудования, которое используется для выхода в Интернет. Обе компании признали, что ошибка, получившая имя Heartbleed, содержится в их продукции.
О наличии "дыры" в криптографическом пакете OpenSSL, который используется для шифрования данных при передаче информации от компьютера к серверу, стало известно в понедельник, 7 апреля. Суть Heartbleed заключается в том, что такие ценные сведения, как логины, пароли и cookie-файлы, оказываются доступными злоумышленникам в незашифрованном виде, которые они могут извлекать из оперативной памяти веб-сервера.
Как выяснилось, уязвимость присутствует в OpenSLL давно, с 2012 года, и кто-нибудь уже наверняка мог ею воспользоваться. Несмотря на то что таких случаев пока выявлено не было, а многие сайты (включая "Яндекс", Yahoo, Facebook, "ВКонтакте", Google, Amazon и т.д.) сумели оперативно ликвидировать ошибку, всем пользователям рекомендуется незамедлительно сменить пароли от интернет-банков, социальных сетей и других онлайн-сервисов.
Heartbleed также затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы. Устранить ошибку в "железе", однако, намного сложнее. Во-первых, компании, как правило, редко проверяют состояние сетевого оборудования и неохотно его обновляют. Во-вторых, покупкой нового роутера проблему можно и не решить, т.к. он может поставляться с уязвимой версией OpenSSL.
В Cisco признали, что Heartbleed подвержены 16 роутеров, еще 65 моделей проверяются на предмет ошибки. А Juniper ограничилась релизом нескольких патчей для своего VPN-софта. "Заплатки" для оборудования обеих компаний должны выйти в течение ближайших дней. Пока что пользователи могут проверить, уязвим ли их роутер: для моделей Juniper и Cisco.