思科Juniper承認路由器也存在“心血”漏洞

本站科技訊 4月11日消息，據國外媒體報道，被稱爲“心血”的高風險加密漏洞並非隻影響網站，思科與Juniper兩家設備廠商日前表示，自己的部分網絡硬件產品上也出現了這類漏洞。

兩大網絡設備製造商的表態意味着，黑客也可以在企業網絡、家庭網絡以及互聯網上利用這一漏洞，非法獲取用戶名、密碼以及其他敏感信息。

包括雅虎、亞馬遜以及Netflix在內的許多網站都受到了“心血”漏洞的影響。大部分網站自週一獲知這一消息後便修復了該漏洞。但是，思科與Juniper兩家公司表示，這一安全缺陷也會影響企業與家庭中使用的路由器、交換機與防火牆。

在這類硬件設備上出現的漏洞可能更難修復。安全專家表示，修復這類設備的漏洞需要採取更多步驟，而企業一般不太可能去檢查網絡設備的狀態。

網絡安全研究員兼密碼研究員布魯斯·施耐爾（Bruce Schneier）表示，“整個升級過程需要拋棄舊設備，拿上信用卡，親自去一趟百思買買個新產品。”

但這可能稱不上是一個合理的解決方案：很可能在週一漏洞公佈前，商店中的產品就上架銷售了。所以消費者購買的新產品可能也會包含有缺陷的軟件。此漏洞涉及到一個名爲OpenSSL的加密協議。

約翰霍普金斯大學的密碼專家馬修·格林（Matthew Green）表示，公司通常會使用防火牆和虛擬專用網（VPN）來保護自己的電腦系統。但如果運行防火牆和VPN的機器受到了“心血”漏洞的影響，攻擊者就可以通過這些設備滲透進網絡。

“這非常糟糕。因爲連接到這些設備上的人太多了，”格林說。

格林與其他人士表示，這個漏洞也可能會影響部分家庭網絡設備，例如無線路由器。

思科在週四更新了一篇客戶通告，表示旗下有數十款產品“受到一種漏洞的影響。未授權的遠程攻擊者可以通過該漏洞獲取”敏感信息。在這篇通告中，思科稱公司目前正在調查65款產品，另有16款產品已經被證實存在漏洞。

思科表示，公司會盡快向客戶推出升級補丁。同時，該公司的安全研究人員提供了工具軟件下載，稱該軟件可以檢測到是否有黑客利用這一漏洞。思科發言人在接受採訪時請求記者參看發表在公司網站上的通告。

Juniper則表示，升級旗下設備或許需要等待一段時間。Juniper發言人稱，“這不像是打開開關那麼簡單。我不知道這些問題需要多長時間纔可以解決。”

爲了防止攻擊，網站和網絡設備會使用加密方式，將敏感信息轉化爲不可讀的文本。由於撰寫加密協議非常複雜，開發者通常使用一種名爲OpenSSL的免費開源協議。該項目僅由四名歐洲程序員管理。

“心血”漏洞兩年前首次被發現存在於OpenSSL中。在該協議被攻破後，黑客可以從服務器和設備上獲取數據。（亞比）