“خونریزی قلبی” در OpenVPN

متاسفانه اکنون باید نرم افزار OpenVPN را نیز به فهرست محصولات و سرویس های آسیب پذیر در برابر ضعف امنیتی “خونریزی قلبی” یا Heart-bleed اضافه کرد. در یک نمونه آزمایشگاهی، کارشناسان توانسته اند روشی را بکار ببرند که آنان را قادر می سازد تا با سوءاستفاده از ضعف امنیتی “خونریزی قلبی”، کلیدهای خصوصی (Private Key) را از ترافیکی که از نرم افزار OpenVPN عبور می کنند، سرقت نمایند.

شرکت سوئدی Mullvad که در زمینه محصولات و خدمات VPN فعالیت می کند، ضمن ارائه گزارشی فنی در این مورد، از همه کاربران OpenVPN خواسته که در اسرع وقت نسبت به ارتقاء نسخه این نرم افزار اقدام نموده، کلیدهای خصوصی قبلی را لغو کرده و کلیدهای جدید صادر و گواهینامه های دیجیتالی برای کلیدهای جدید ایجاد کنند.

شرکت امنیتی Mandiant نیز از شناسایی یک حمله نفوذی به یک موسسه که با سوءاستفاده از ضعف امنیتی “خونریزی قلبی” و با گروگانگیری (Hijacking) یک ارتباط اینترنتی امن که توسط OpenVPN برقرار گردیده بود، خبر داد.

ضعف امنیتی “خونریزی قلبی” در اواسط فروردین ماه سال جاری در نرم افزار OpenSSL کشف و خبر آن بطور عمومی منتشر گردید. این ضعف امنیتی در بخش Heart-beat این نرم افزار وجود دارد و در صورت فعال بودن آن، باعث می شود تا 64KB از حافظه بصورت متن ساده (Plain Text) به هر سرور و یا کاربری که درخواست برقراری ارتباط داشته باشد، ارسال گردد. نامگذاری این ضعف امنیتی نیز از نام بخشی از نرم افزار OpenSSL که این ضعف در آن وجود دارد، اقتباس شده است.

تاکنون گزارش های مختلفی از سوء استفاده از ضعف امنیتی “خونریزی قلبی” و سرقت اطلاعات و رمزهای عبور در کشورهای مختلف منتشر شده است.