最近在20万台设备中发现的挥之不去的“心脏出血”(Heartbleed)漏洞,比这个数字显示的更阴险。
根据一项由Shodan发布的报道,Heartbleed脆弱性该病毒于2014年4月首次暴露,但在上周末进行的扫描中,仍在199594台可接入互联网的设备上发现了该病毒。
但据开源安全公司黑鸭(Black Duck)称,在2015年10月至2016年3月期间,该公司审计的200多个应用程序中,约有11%存在这一漏洞。这一漏洞会导致缓冲区过载,危及运行受影响OpenSSL版本的客户端和服务器的数据。
该公司负责安全策略的副总裁Mike Pittenger说,这些机器中的大部分可能已经被修复了,但它并没有解决黑鸭没有审计的无数其他应用程序——商业的和专有的。他说,当然,这很重要。“然而,我不会推断说11%的商业应用程序在那个时候容易受到‘心脏出血’的攻击。”
11%这个数字来自该公司最近发布的报告。在下个月发布的一份尚未完成的新报告中,这一数字可能会降至个位数,但仍相当可观。
他说,问题是,商业软件通常使用大量的开放源代码——平均35%——而代码的作者不一定有适当的过程来跟踪何时发现代码中的漏洞,然后对它们进行修补。
他说,黑鸭的研究发现,这些应用程序中有三分之二存在这样或那样的开源漏洞,这些漏洞平均存在5年。
特别是关于Heartbleed,他说报告使用了匿名的审计数据,所以他们不会透露发现Heartbleed漏洞的具体应用程序。
他说,在规范的环境中运行易受攻击的应用程序可能会给使用它们的企业带来后果,因为它们所代表的安全威胁可能会违反HIPAA或PCI安全和隐私要求。
Shodan关于“心脏出血”流行情况的报告显示,拥有数量最多的“心脏出血”脆弱设备的个体实体是服务提供商。皮滕格说,这可能是因为这些机器是在一段时间以前安装的,现在已经不再使用,但从未下线。例如,Amazon Web Services上有超过5163个实例,其中许多实例可能是由开发团队动态设置的,他们在使用完这些实例后,从来没有费心关闭它们。