Sai sót mới của OpenSSL có thể tạo một Heartbleed khác

Tờ Forbes vừa dẫn lại thông báo từ trang web của OpenSSL cho thấy những người điều hành đã chỉ ra thêm 6 lỗ hổng mới trong phần mềm được nhiều người sử dụng. OpenSSL cũng là phần mềm được nhắc đến nhiều trong thời gian gần đây, lỗ hổng Heartbleed (Trái tim rỉ máu). Heartbleed là tên được đặt cho sự cố nghiêm trọng về OpenSSL. Lỗi này kéo dài trong suốt hai năm qua và chỉ được thông tin rộng rãi vào tháng 4 vừa rồi.

Sáu sai sót này dao động trong mức độ nghiêm trọng; tác động và có thể cho phép kẻ tấn công tạo ra tình trạng từ chối dịch vụ hoặc những tình huống thực thi điều khiển từ xa. Như vậy, khi những người có được quyền điều hành, họ sẽ làm bất kỳ điều gì trên máy tính của bạn.

Một số đã nhanh chóng trở thành những khiếm khuyết như "một heartbleed khác". Nhưng chúng không được giới truyền thông chú ý như lần Heartbleed từng xảy ra. Dẫu thế, người dùng vẫn phải cần lưu ý. Trên trang chính thức của mình, OpenSSL cũng đã đưa ra những lỗ hổng khó ưa và có thể làm suy yếu hệ thống an ninh của một vài ứng dụng và dịch vụ, bao gồm Tor khá phổ biến.

Nếu cẩn trọng phát hiện và vá lỗi sớm thì bạn có thể ứng phó được với những lỗ hổng dù với bất kỳ phần mềm nào, trong đó có OpenSSL. Ảnh: S.T.

Theo định nghĩa trên Wikipedia thì Tor là một phần mềm mã nguồn mở và miễn phí. Tor thực hiện giao thức phân tuyến kiểu củ hành thế hệ thứ hai. Hệ thống này là công cụ giúp người sử dụng vượt tường lửa truy cập Internet một cách vô danh. Lúc khởi đầu, dự án Tor được phòng thí nghiệm và nghiên cứu hải quân Mỹ đỡ đầu. Tor là phần mềm máy tính có chức năng xóa dấu vết, giấu địa chỉ IP xuất xứ của máy truy cập khi gửi hay nhận thông tin qua mạng Internet.

Các thông tin trao đổi qua Tor được mã hóa và truyền qua nhiều máy chủ trung gian khác nhau. Nếu một máy trung gian Tor bị truy cập trộm, kẻ trộm cũng không thể đọc được thông tin của người sử dụng do đã được mã hóa. Tor là công cụ giúp người dân ở những nơi bị ngăn chặn thông tin có thể vượt tường lửa để tiếp cận với những luồng thông tin tự do và khách quan hơn ở bên ngoài. Bản chất của Tor là tự động và liên tục thay đổi proxy để bảo mật dữ liệu.

Theo Forbes, OpenSSL đã phát hành bản vá lỗi cho tất cả khiếm khuyết và đưa ra danh sách các phiên bản bị hổng (cùng bản vá lỗi) trên trang web của họ. Trong ngắn hạn, nếu đội ngũ IT của công ty bạn có thể thích ứng và đối phó được tình trạng này thì rủi ro sẽ được giảm đáng kể - nhanh chóng và dễ dàng.

Nhưng đáng tiếc, qua lần Heartbleed chấn động (và các trường hợp khác) nhiều tổ chức CNTT sửa hệ thống Windows rất nhanh nhưng chậm chạp trong việc ứng phó với Linux (hoặc những hệ thống khác). Điều này khiến thời gian vá lỗi thêm kéo dài và dĩ nhiên, đây là cơ hội cho những kẻ tấn công. Có rất nhiều thiết bị được bán trên thị trường chưa được vá lỗi.

Hiện có nhiều thiết bị bán trên thị trường chưa được vá lỗi. Ảnh: S.T.

Dù rằng việc vá lỗi có chậm chạp nhưng chúng vẫn đang được thực hiện. Trong ngắn hạn, người dùng có thể yên tâm bởi những phát hiện bổ sung. OpenSSL được sử dụng rộng rãi, đây là mã rất quan trọng trong lịch sử. Gần đây, Linux Foundation đưa hai nhà phát triển toàn thời gian vào phục vụ các dự án và những nhà cung cấp tổ chức quyên góp tiền cho dự án để bắt đầu chạy một chương trình cải thiện.

Hãy chắc chắn rằng tổ chức của bạn có một kế hoạch để vá các lỗi nhằm ngăn chặn những kẻ tấn công các hệ thống quan trọng hoặc có khả năng thực thi mã độc hại. Trong đó, cần chú ý đến các máy chủ web. Tuy nhiên, bất kỳ hệ thống khác nào có sử dụng SSL để mã hóa thông tin bao gồm các thiết bị đều có thể dính lỗi.

Trong khi đó, theo kết quả được Mashable dẫn lại từ báo cáo nghiên cứu an ninh thông tin của Errata Security thì cả thế giới còn rất nhiều máy chủ "rỉ máu". Nghiên cứu này được thực hiện bằng cách quét cổng 443 trên máy chủ web nhằm tìm kiếm lỗ hổng.

Ở lần quét này, có 309.197 máy chủ vẫn còn dính lỗi kỹ thuật. Còn khi Errata chạy trình quét cùng cổng vào tháng 5 thì có 318.239 máy chủ bị dính. Điều đó có nghĩa, trong 30 ngày qua, chỉ có 9.000 máy chủ được vá.

Dy Khoa