当Heartbleed OpenSSL漏洞在4月份被发现时,安全社区很多专家都警告说,该漏洞可能被用来暴露敏感数据,尽管当时还没有证据证明攻击者正在积极利用Heartbleed漏洞。而现在,一家信息安全咨询公司警告称,在最近的Community Health Systems公司的数据泄漏事故中,Heartbleed漏洞可能被作为最初的攻击向量。
Community Health在美国29个州经营着超过200家医院,该公司在本周提交给美国证券交易委员会的申报表8-K中称,攻击者在4月和6月攻击了其安全系统,泄露了450万病人受HIPAA保护的数据。根据该申报表显示,这些数据包括个人信息,例如姓名、生日、联系方式和社会安全号码,但该医疗服务提供商强调医疗信息和信用卡信息并未受到影响。
Community Health还指出他们已经聘请外部取证公司Mandiant来协助调查。Mandiant认为该泄漏事故与中国黑客组织“APT-18”有关,但并没有提供进一步的详细信息,例如攻击者所使用的战术或者为什么他们窃取个人资料,而不是有价值的知识产权信息,这是攻击组织的典型目标。
信息安全咨询公司TrustedSec LLC在博客文章中称,Community Health泄漏事故背后的攻击者利用Heartbleed来在该公司的网络获得立足之地。TrustedSec表示这个信息来自参与该泄漏事故调查中匿名人士,而在接受彭博社的采访时,该公司创始人兼首席安全顾问David Kennedy表示三位不愿意透露姓名的人士告诉了他这个信息。
根据TrustedSec表示,这是迄今为止第一个使用Heartbleed漏洞作为数据泄漏事故的初始向量的实例。在Heartbleed被公布后不久,涉及该漏洞的安全事故并不多。CloudFlare、Akamai和其他公司的研究人员随后证实,Heartbleed确实可以被用来收集私有SSL密钥和其他敏感数据,不过非常耗时间。
该TrustedSec博客文章解释说,Community Health的攻击者能够从该公司网络中的一台瞻博网络设备(当时未打补丁)获取用户登录凭证,然后他们能够登录到Community Health VPN。
“从那里,攻击者通过其他攻击手段来深入到网络,直到从数据库获取约450万病人的记录,”TrustedSec在博客文章中写道,“这并不奇怪,因为如果能够内部访问到任何计算机网络,攻击者几乎可以100%成功地攻入系统和进一步访问。”
目前有几个瞻博网络受到Heartbleed漏洞的影响,包括多个版本的SSL VPN和利用Junos OS 13.3R1的产品,但该公司在该OpenSSL漏洞被公开后不久就修复了这些产品。TrustedSec并没有进一步说明该漏洞事故中涉及哪个瞻博网络的产品,也没有透露该设备在多久时间内未修复补丁,他们只是表示,该事故原本可以通过使用补偿性控制直到补丁出现来避免。
“在攻击发生时,能够检测和响应攻击是制定事件响应和快速缓解威胁的关键,TrustedSec在博客文章中总结道,“我们在这里可以学到的是,当出现Heartbleed这样的漏洞时(虽然很少),我们需要专注于毫不拖延地立即解决安全问题。”