Соответствующая публикация появилась на ресурсе американской организации “ICS-CERT”, занимающейся вопросами информационной безопасности управляющих систем.

В устройствах серии 650 используется уязвимая версия OpenSSL 1.0.1c.  Специалисты АББ работают над скорейшим устранением уязвимости своих устройств.

Вкратце суть уязвимости “heartbleed” заключается в том, что сервер не проверяет корректность некоторых запросов клиентов.

Клиент, установив соединение,  периодически обращается к серверу с целью подтверждения активности соединения (отправляет так называемые heartbeet-пакеты— «биение сердца»), состоящие из данных, которые сервер должен вернуть в неизменном виде (гарантия того, что сервер расшифровывает пакеты) и случайных заполняющих байтов.

Уязвимый OpenSSL не проверял корректность heartbeet-пакета: возможен, например, пакет длиной 16 байт, в котором написано, что длина данных 64 килобайта (поле размера состоит из двух байт). Таким образом, если клиент запросит больше данных, чем отправил, уязвимый OpenSSL выполнит его запрос — пришлёт блок данных из оперативной памяти длиной вплоть до 64 килобайт (поэтому уязвимость называется heartbleed — «кровоточащее сердце»).

В присланном сервером блоке данных могут находиться критические с точки зрения ИБ сведения— пароли и логины, недавно подключившихся к серверу клиентов, также секретный ключ, используемый сервером для шифрования соединений.

Наглядно механизм работы уязвимости показан на картинке:

Источник: ics-cert.us-cert.gov