Отказавшись заменить личные ключи шифрования и сертификаты безопасности, компании не могут гарантировать полную безопасность от последствий уязвимости в OpenSSL.
Исследование публично доступных web-серверов, принадлежащих крупнейшим мировым организациям, показало, что только 3 процента машин были полностью защищены от уязвимости в OpenSSL, также известной как Heartbleed.
Специалисты компании Venafi Labs проверили 550 тысяч серверов, принадлежащих 1639 компаниям, значащимся в списке 2000 крупнейших предприятий. Оказалось, что 99% проверенных компаний применили обновление, исправляющее критическую уязвимость Heartbleed.
Но лишь на 15000 серверов были изменены личные ключи, отозваны старые сертификаты SSL и выданы новые. Учитывая то, что Heartbleed можно использовать для извлечения личных ключей из памяти уязвимого компьютера, можно считать, что ключи и сертификаты серверов также были скомпрометированы.
«Устранять последствия инцидента не так просто, как кажется, - говорит Кевин Бочек, вице-президент стратегии безопасности и отслеживания киберугроз Venafi Labs. – Одной лишь установкой обновления в данном случае не обойтись».
Бочек отметил, что брешь в OpenSSL активно эксплуатировалась в течение двух лет перед тем, как ее обнаружили в апреле 2014 года. В течение этого времени злоумышленники могли получать не только пароли, но и ключи шифрования и данные сертификатов.
По словам специалиста, еще хуже дела обстоят среди закрытых серверов, поскольку в большинстве случаев на них даже не устанавливали исправление, устраняющее уязвимость.
Спойлер: она начинается с подписки на наш канал