(1) OpenSSL 1.0.1系

(2) OpenSSL 1.0.2系

OpenSSLのリリースやリポジトリを見直してみると「OpenSSL 1.0.2 beta」というリリースはないようです。JPCERT/CC他が公開している情報には影響対象に含まれていますが、当該バージョンが存在するのかは不明です。

(3) 影響を受けないバージョン

• OpenSSL 0.9.8系
• OpenSSL 1.0.0系

(4) 1.0.0h→1.0.1でheartbeatが追加

Changes between 1.0.0h and 1.0.1 [14 Mar 2012]
:
*) Add support for TLS/DTLS heartbeats.
[Robin Seggelmann ]
:

http://git.openssl.org/gitweb/?p=openssl.git;a=blob_plain;f=CHANGES;hb=refs/heads/OpenSSL_1_0_1-stable

• 2012年1月1日のコミットでCVE-2014-0160を含むHeartbeat機能追加
  • PR: 2658
• Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately
  • 運悪くHeartBleedを実装してしまったコーダーへのインタビュー記事
  • 「わたしは不幸にも見逃した」：壊滅的バグ・Heartbleedを追加した人物へのインタヴュー « WIRED.jp
  • ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存 - WSJ.com

(5) CVE-2014-0160の修正箇所

• Add heartbeat extension bounds check.

(1)日本語の情報

• 巷を賑わすHeartbleedの脆弱性とは？！ ― Mobage Developers Blog
• CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
  • CVE-2014-0160に関連する情報が分かりやすくまとめられている。ディストリビューターの当該脆弱性に関する情報、参照先のリンクあり。
• 「CVE-2014-0160.」の脆弱性の対処について(Debian Wheezy) - labunix's blog
  • Debian Wheezyについてコマンドベースの検証・対策手順が整理されている
• Heartbleed攻撃と対策 | yohgaki's blog
  • 影響を受けた場合の対策等のまとめ
• ［ビデオ］OpenSSLのバグ“Heartbleed”ってどんなの？
• OpenSSL の脆弱性 （Heartbleed Bug） に関する Q&A | WWW WATCH
• HeartBleed関係の情報をまとめているセキュメモの該当トピック
  • 影響対象やパッチ情報の記載あり
• チェック方法まとめ：OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - ＠IT
  • 影響を受ける製品やチェック方法のまとめ
• OpenSSL マジヤバいっす！ 〜 Heartbleed 脆弱性を試してみたよ - モラトリアムこじらせた
  • デモをやってみたいという方向けの記事

(2) 英語の情報

• OpenSSL Security Advisory ［07 Apr 2014］
  • OpenSSLのHeartBleedに関するセキュリティアドバイザリ。
• HeartBleed.com
  • HeartBleedについて情報がまとめられたサイト
• The Heartbleed Hit List: The Passwords You Need to Change Right Now
  • 大手サイトが影響を受けているか、パスワード変更を行うべきかがまとめられたリストを掲載
• InfoSec Handlers Diary Blog - Heartbleed vendor notifications
  • ベンダー情報が集積されている

(3) 注意喚起

• JPCERT/CC OpenSSL の脆弱性に関する注意喚起
• IPA OpenSSL の脆弱性対策について(CVE-2014-0160)
• 警察庁 OpenSSL の脆弱性を標的としたアクセスの増加について(PDF)
• OpenSSLの脆弱性について (2014年4月)（総務省）
• OpenSSL 情報漏えいを許してしまう脆弱性 〜Heartbleed 問題〜 について(日本シーサート協議会)
• 2014年4月に公開されたOpenSSLの脆弱性(CVE-2014-0160)に対する攻撃を確認 IBM Tokyo SOC

(4) CVE-2014-0160の原因となったHeartbeat Extension

• RFC 6520 Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
• OpenSSL の脆弱性 "Heartbleed" がヤバい？ - もろず blog 2.Heartbeat Extension ってなんでしょう
  • RFCの説明がよく分からない人向けに素晴らしい解説をしているBlog記事

(5) CVE-2014-0160の影響やリスクに関する考察

• Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
• OpenSSLの脆弱性で想定されるリスク - めもおきば
• Heartbleed脆弱性の影響とパスワード変更に関する議論 - Togetterまとめ
• CVE-2014-0160 での Cookie 漏洩 - @znz blog

(6) 国内主要メディアでも取り上げられ始める

• ネット暗号化ソフト重大な欠陥 - NHK 首都圏 NEWS WEB(魚拓)
• セキュリティーバグ「ハートブリード」、広がる波紋と対策　写真1枚　国際ニュース：AFPBB News(魚拓)
• ＯｐｅｎＳＳＬ:ネットセキュリティー２年間“重大な穴” - 毎日新聞(魚拓) (魚拓)
• 暗号化ソフトに深刻な欠陥　利用サイトに対策呼び掛け　　：日本経済新聞(魚拓)
• オンライン決済でカード情報盗難も　暗号化プログラムに重大欠陥 - MSN産経ニュース(魚拓)(魚拓)
• 暗号化ソフトＳＳＬに欠陥、悪用狙い攻撃相次ぐ : ＩＴ＆メディア : 読売新聞（YOMIURI ONLINE）(魚拓)

(7) NSAはHeartBleedを事前に把握していた?

Bloombergが4/12付でNSAが今回のHeartBleedを公になる前から把握していたと報じています。

• NSA Said to Have Used Heartbleed Bug, Exposing Consumers - Bloomberg(魚拓) (日本語訳:魚拓)
• NSA、「Heartbleed」脆弱性をデータ収集活動に利用と報じられる--声明で否定 - CNET Japan(魚拓)

NSAは当初コメントを拒否していたようですが、その後Statementを発表し、セキュリティ企業からの報告を受けるまで把握していなかったとして、Bloombergの記事を否定しました。

• IC ON THE RECORD • Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw and regularly used it to gather critical intelligence

NSAはTwitterでも投稿しています。

Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.

— NSA/CSS (@NSA_PAO) April 11, 2014

(1) FreeBSD9.1が稼働するサーバーで秘密鍵が見えた事例

@neelmehta @tqbf @_miw FreeBSD 9.1 #heartbleed pic.twitter.com/AktnQD3E7w

— Tomas Rzepka (@1njected) April 9, 2014

(2) Yahoo.comで他人のメールアドレスやパスワードが見えた事例

Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP

— Mark Loman (@markloman) April 8, 2014

FOXITの検証を見ると秘密鍵も漏れていた模様

• OpenSSL ‘heartbleed’ bug live blog | Fox-IT International blog

(3) JIRAでHTTPリクエストが漏えいし、セッションハイジャックが出来た事例

• Hijacking user sessions with the Heartbleed vulnerability · Matt's Life Bytes

(4) nginx 1.5.13で秘密鍵が取得できた事例

• Heartbleed Challenge

Cloudflareが「www.cloudflarechallenge.com」から証明書秘密鍵を取ることが出来るかといったHeartBleedの脆弱性評価コンテストを開催し実際にデータを取ることが出来たと報告が行われました。

少なくとも 2人成功。1人は約250万回の試行、もう1人は約10万回の試行で成功したようです。サーバの環境は "nginx-1.5.13 linked against OpenSSL 1.0.1.f on Ubuntu 13.10 x86_64" とのこと。

— Masafumi Negishi (@MasafumiNegishi) April 12, 2014

その後さらに2人増えて、これまでに合計 4人が秘密鍵の取得に成功。 Heartbleed Challenge https://t.co/I90ZPsW3D8

— Masafumi Negishi (@MasafumiNegishi) April 13, 2014

あ、Tweet 見るとそのあとさらに 2人いるな。

— Masafumi Negishi (@MasafumiNegishi) April 13, 2014

• 「/etc/shadowも抜けた」はデマでした*1

“@Viss: hey @cloudflare, do I get any credit for finding /etc/passwd contents just now? :D :D :D pic.twitter.com/5Qg0ET7Jd9” ahahaha! :)

— Fedor Indutny (@indutny) April 12, 2014

awww boooo :( - I'm told the /etc/shadow contents I'm seeing are fake and were inserted into memory by someone posting to the form.

— Dan Tentler (@Viss) April 12, 2014

(5) カナダ 歳入庁でデータ侵害の被害が出た事例

• Statement by the Commissioner of the Canada Revenue Agency on the Heartbleed bug
  • HeartBleedを悪用されて納税者のデータ約900人分が削除された模様。
  • HeartBleedがどのように悪用されたのかの説明はない。
  • OpenSSLの“Heartbleed”脆弱性による被害が発生、カナダ歳入庁が発表 -INTERNET Watch

(6) イギリス 育児サイト Mumsnetでデータ侵害の被害が出た事例

• The Heartbleed security breed - and what to do
  • HeartBleedが悪用され、不正にログインされ情報が閲覧された可能性がある。
  • どのユーザーが影響を受けたのか確認する方法がないと報告。
  • HeartBleedの影響によりパスワードリセットが全ユーザーに実行される事例はMumsnetが初めてと思われる。
  • 「ハートブリード」バグで150万人情報流出か 英育児サイト国際ニュース：AFPBB News(魚拓)

(7) 三菱UFJニコスが不正アクセスを受け、情報漏えいの可能性がある被害事例

• 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた - piyolog

(1) nginxはパッチ後にログが出力されるようになる

nginx, after being patched, logs the following from the PoC exploit:

2014/04/08 12:37:18 [info] 4151#0: *724561 peer closed connection in SSL handshake while SSL handshaking, client: 70.91.145.11, server: 0.0.0.0:8443

https://isc.sans.edu/diary/%2A+Patch+Now%3A+OpenSSL+%22Heartbleed%22+Vulnerability/17921

nginx 1.4.7でエラーログ(/var/log/nginx/error.log)に出力されることをUbuntu13.10で確認しました。但しログレベルをinfoにしなければ出力されません。

(2) iptablesを使った検知方法

デロイトトーマツの岩井さんがiptablesを使った検知(遮断)方法を紹介しています。以下その方法を引用します。

iptables log rules
　iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"
　
iptables block rules
　iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

http://blog.f-secure.jp/archives/50725604.html

この方法は根本的な対策ではないと岩井さんがコメントしている通り、yasulibさんもこのルールの回避方法を検証しています。

• heartbleedをiptablesで止めることについて - yasulib memo

いくつか回避する方法があると思います。例えばTCPヘッダのOptionsヘッダにNOPを入れることでオフセットをずらすなど。
　
他にもSSLには一つのパケットの中に複数のContentを入れることができます。
　
よく見るのはServer Helo, Certificate, Server Key Exchange, Server Hello Doneが1つのパケットにまとまっていることなどです。
　
この仕様を使っても、フィルタを回避できます。

(3) IDS/IPSのHeartBleed対応状況

(1) OpenSSLコマンドを使った確認方法

• opensslコマンドを使ってサーバー内で確認する場合

$openssl version -a

出力結果に影響を受けるバージョンであること、無効化オプション(-DOPENSSL_NO_HEARTBEATS)が指定されていないこと、の2つが確認できた場合、脆弱性が存在する可能性が高いです。

• opensslコマンドを使ってリモートからheartbeatが有効となっているか確認する場合

$echo | openssl s_client -connect host:port -tlsextdebug

と入力して「TLS server extention "heartbeat"」と出力されるとheartbeat機能が有効となっていることが分かります。ただし、脆弱性が存在するかは分かりません。

(2) オンラインスキャナーでの確認方法

方法といっても基本的にはURLを入れるだけです。インターネットに公開されたWebサーバーや自分自身に対してオンラインスキャナーを使ってCVE-2014-0160の影響を受けるか確認することが可能です。

脆弱性が存在するサイトをオンラインスキャナーにかけてみると次のように表示されます。

• SSLチェックツール(Globalsign)

• Heartbleed脆弱性検査(NetAgent)

• SSL Labs Server Test(Qualys)

• LastPass Heartbleed checker(LastPass)

• heartbleed test(possiblelv)

• Heartbleed test(Filippo Valsorda)

• Check your certificate installation(Symantec)

• heartbleedtest(McAfee)

• FREE HeartBleed Tester(Crytical Watch)

(3) Github/CodePlex上で公開されているCVE-2014-0160の確認ツール

公開されているツールの多くはjspenguinさんのPoCを使用しています。

脆弱性が存在するサイトでhb-test.pyを動かしてみた結果です。脆弱性の存在が確認できるとメモリを表示した後に次のような表示が出ます。

尚、jspenguinさんのPoCには次のバグが存在しHeartBleed脆弱性検出の見落としが発生する可能性が指摘されています。上記のGithubツールだけでなく、NSEやNessusにも影響が及ぶようです。そのため、この指摘をしたhut3チームが公開している「Hut3 Cardiac Arrest」が確認ツールとしては良さげと思います。

• Bugs in Heartbleed detection scripts.

バグ１：TLS Version Support
　検知スクリプトでは TLSv1.1が指定されているが、これ以外(TLSv1.0やTLSv1.2)しか
　サポートしていないサーバだと、このH　eartbeatリクエストを捨ててしまう。
　リクエストが捨てられてしまった場合、検知スクリプトでは脆弱性なしと判定している。
　
バグ２：TLS Cipher Suite Support
　現在318種類のCipher suite がIANAによって登録されている。
　多くの検知スクリプトでは51種類しか使用していなかった。
　それをサポートしていないサーバは、このリクエストを捨ててしまう。
　リクエストが捨てられてしまった場合、検知スクリプトでは脆弱性なしと判定している。
　クライアントが実際にその318種類に対応している必要はない。脆弱性を引き起こすのは、暗号化が起きる前なので。
　
バグ３：Payload Detection
　レスポンスを受け取るまでに5秒以上かかると、脆弱性なしと判定している。

http://www.pupha.net/archives/1876/

というわけで「Hut3 Cardiac Arrest」を実行した結果です。脆弱性が存在すると次の通り出力されます。

脆弱性が存在しない場合は次の通り出力されます。SSLv3だけでなく、TLSも総じてチェックされます。

(4) 自分が利用しているAndroidが影響を受けるか検証するツール

HeartBleed関連でいくつかアプリが出ています。他のスキャナーと違って、自分自身(AndroidOS、アプリ)にインストールされているOpenSSLがCVE-2014-0160の影響を受けないか確認するためのアプリです。偽チェックツールも出回るかもしれないので利用前には十分な注意が必要です。また影響対象のOpenSSLがインストールされたAndroidのバージョンは4.1.1〜4.4.2_r2ですが、HeartBeat機能が有効となっているのは4.1.1のみのため、4.1.1のみCVE-2014-0160の影響を受けます。*2

2社の関連情報も掲載しておきます

• Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App | The Official Lookout Blog
• Heartbleed Bug Impacts Mobile Devices Bluebox

(5) Nessusでの確認方法

• Beware of Bleeding Hearts (Updated) | Tenable Network Security
• テスト方法については以下で説明有り。
  • How to test the 'Bleeding Heart' vulnerability with Nessus (and the Nessus Perimeter Service)

(6) NMAP Script Engineでの確認方法

• ssl-heartbleed
  • 手元のWindows7環境ではうまく動作しませんでした。Ubuntu13.10(NMAP6.40)で動作確認済。

• HeartBleedチェック用のNSEをダウンロードする。

$sudo wget https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse -P /usr/share/nmap/scripts

• Scriptダウンロード後以下のコマンドを実行するのみ。

$nmap -sV -p SSLポート --script=ssl-heartbleed.nse ターゲットホスト

脆弱性が存在するサイトに対してNSEを実行すると次のように表示されます。脆弱性が存在しなければ何も表示されないようです。

• tlsがないと言われたらこちらもダウンロードする。

$sudo wget https://svn.nmap.org/nmap/nselib/tls.lua -P /usr/share/nmap/nselib

• (参考)「CVE-2014-0160」をnmapスクリプトを使ってローカル環境でテストする - labunix's blog

(7) Metasploitでの確認方法

• Metasploit's Brand New Heartbleed Scanner Module (CVE-2014-0160) | SecurityStreet