重大な脆弱性が明らかになってから2年9か月以上が経過した現在でも、約20万台のシステムが依然としてHeartbleedの影響を受ける可能性がある。
2014 年 4 月に世界で最もよく知られ、当時最も壊滅的なバグに関するニュースが流れた後、パッチ適用の取り組みが急増しました。
バグをブランド化する慣行を確立した脆弱性 (CVE-2014-0160) は、その評判どおりでした。OpenSSL の小さな欠陥により、誰でも簡単に、そしてひそかに脆弱なシステムを略奪し、パスワード、ログイン Cookie、秘密の暗号キーなどを盗むことができました。
Shodan の責任者 John Matherly 氏は、パッチが適用されていない OpenSSL インスタンスのせいで、約 20 万のサービスが Heartbleed の攻撃を受けやすい状態のままであると述べています。
彼は、米国で 42,032 件、韓国で 15,380 件、中国で 14,116 件、ドイツで 14,072 件の公開されたサービスを発見しました。
脆弱なボックスのうち約 75,000 台は期限切れの SSL 証明書を持ち、Linux 3.x を実行していました。
約 3 年が経過しましたが、依然として約 20 万のサービスが Heartbleed に対して脆弱です: https://t.co/KU04PtWTJU pic.twitter.com/6mZhCUCVu6
— ジョン・マザーリー(@achillean)2017年1月22日
1 年前、OpenSSL VPN サーバーの 10 台のうち 1 台が依然として Heartbleed に対して脆弱でした。
管理者は Heartbleed を無視しているだけではない。マイクロソフトによると、2016 年 5 月の時点で、Stuxnet はインターネット上でハッキングされる最も一般的な脆弱性 (CVE-2010-2568) だったが、レドモンドがその数値を明らかにした時点では、この問題は 6 年間にわたって広く開示されていた。
さらに悪いことに、2016 年 7 月の時点で最も頻繁に悪用されている Microsoft Office の脆弱性は、Office 2010、2007、2003 にのみ影響し、ユーザーがコードをアップグレードしていなかったことを示しています。これは、海賊版作成者さえも行っていたことです。
レドモンド氏は2015年4月、Wordマクロが再び出現し、50万台のコンピュータに感染し、ほぼ永続的な脅威となっていると警告しました。Wordマクロを利用した大規模な攻撃キャンペーンは2016年を通して引き続き発生しました。®
