Только 3% web-серверов полностью защищены от последствий Heartbleed

Исследование публично доступных web-серверов, принадлежащих крупнейшим мировым организациям, показало, что только 3 процента машин были полностью защищены от уязвимости в OpenSSL, также известной как Heartbleed.

Специалисты компании Venafi Labs  проверили  550 тысяч серверов, принадлежащим 1639 компаниям, значащимся в списке 2000 крупнейших предприятий. Оказалось, что 99% проверенных компаний применили обновление, исправляющее критическую уязвимость Heartbleed.

Но лишь на 15000 серверов были изменены личные ключи, отозваны старые сертификаты SSL и выданы новые. Учитывая то, что Heartbleed можно использовать для извлечения личных ключей из памяти уязвимого компьютера, можно считать, что ключи и сертификаты серверов также были скомпрометированы.

«Устранять последствия инцидента не так просто, как кажется, - говорит Кевин Бочек, вице-президент стратегии безопасности и отслеживания киберугроз Venafi Labs. – Одной лишь установкой обновления в данном случае не обойтись».

Бочек отметил, что брешь в OpenSSL активно эксплуатировалась в течение двух лет перед тем, как ее обнаружили в апреле 2014 года. В течение этого времени злоумышленники могли получать не только пароли, но и ключи шифрования и данные сертификатов.

По словам специалиста, еще хуже дела обстоят среди закрытых серверов, поскольку в большинстве случаев на них даже не устанавливали исправление, устраняющее уязвимость.