Firewall และ IPS ตอบโต้ Heartbleed กันอย่างเข้มข้น

หลังจากที่ช่องโหว่ Heartbleed ถูกเปิดเผยออกมาเป็นเวลานานกว่า 1 สัปดาห์ ทีมงาน TechTalkThai ได้พยายามอย่างเต็มที่ในการรวบรวมข้อมูลผลกระทบของ Heartbleed ต่อผลิตภัณฑ์ยี่ห้อต่างๆ (ติดตามได้ที่นี่) เพื่อที่จะได้เป็นประโยชน์ต่อทั้ง Consultant, System Integrator และ Distributor ในการตอบคำถามของลูกค้าเกี่ยวกับผลิตภัณฑ์ของตนเองว่าได้รับผลกระทบมากน้อยแค่ไหน และสามารถแก้ไขปัญหาได้อย่างไร รวมไปถึงฝ่าย IT Support ของแต่ละบริษัทเองก็สามารถนำข้อมูลดังกล่าวไปอัพเดทแพทช์ระบบปฏิบัติการ และอุปกรณ์ของตนเองได้เช่นกัน

สำหรับบทความนี้ ทางทีมงาน TechTalkThai ก็ได้พยายามรวบรวมข้อมูลของอุปกรณ์รักษาความปลอดภัยที่สามารถป้องกันช่องโหว่ Heartbleed ในกรณีที่บางบริษัทไม่สามารถอัพเดทแพทช์หรือมีข้อจำกัดในการอุดช่องโหว่ของระบบตนเอง รวมถึงทำให้ทราบว่าอุปกรณ์รักษาความปลอดภัยที่ตนมีอยู่สามารถป้องกัน Heartbleed ได้หรือไม่ ซึ่งเจ้าของผลิตภัณฑ์จำพวก Firewall และ IPS หลายบริษัทที่ประกาศอย่างเป็นทางการว่าสามารถอุดช่องโหว่ Heartbleed ได้ มีดังนี้

CheckPoint

• สามารถตรวจจับทราฟฟิคบน HTTPS ได้ ส่งผลให้ตรวจจับทราฟฟิคที่ผิดปกติจาก Heartbleed ได้ทันที (Software Blade R75.20 เป็นต้นไป)
• ฟังก์ชัน IPS ได้มีการออกฐานข้อมูลภัยคุกคามใหม่ตั้งแต่วันที่ 9 เมษายน เพื่อตรวจจับและป้องกันช่องโหว่ Heartbleed
• รายละเอียดเพิ่มเติม: http://www.checkpoint.com/press/2014/media-alert-multiple-protections-against-heartbleed.html

Cisco

• SourceFire NGIPS: ออกฐานข้อมูลภัยช่องโหว่ใหม่เพื่อตรวจจับและป้องกันช่องโหว่ Heartbleed แล้ว สามารถอัพเดทได้ทันที (Snort SIDs 30510 ถึง 30517)
• Cisco IPS: ออกฐานข้อมูลภัยช่องโหว่ใหม่แล้วเช่นกัน โดยมี Signature Update Package S785 (Signature IDs 4187/0 และ 4187/1)
• รายละเอียดเพิ่มเติม: http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/

Fortinet

• FortiGate: ฟังก์ชัน IPS ได้มีการออกฐานข้อมูลภัยคุกคามใหม่ตั้งแต่วันที่ 9 เมษายน เพื่อตรวจจับและป้องกันช่องโหว่ Heartbleed (Update 4.476)
• FortiWeb: เมื่อติดตั้งแบบวางขวาง (ทั้ง Reverse Proxy และ Transparent Proxy) สามารถป้องกันเว็บแอพพลิเคชันจากช่องโหว่ Heartbleed ได้ทันที
• รายละเอียดเพิ่มเติม: http://blog.fortinet.com/Heartbleed-FAQ-/

HP Networking

• TippingPoint: ออกฟิลเตอร์สำหรับ Zero-day ใหม่เพื่อตรวจจับและป้องกัน Heartbleed ได้แก่ ฟิลเตอร์หมายเลข 13814 และ 13817
• DVLabs: กำลังรวมรวมข้อมูลเพื่อออกฐานข้อมูลภัยคุกคามใหม่เพื่อป้องกัน Heartbleed โดยเฉพาะเร็วๆนี้
• รายละเอียดเพิ่มเติม: http://h30499.www3.hp.com/t5/HP-Security-Products-Blog/Heartbleed-protection-with-HP-TippingPoint/ba-p/6444226

McAfee

• NGFW (StoneSoft) และ NSP (Network Security Platform): ออกฐานข้อมูลใหม่สำหรับตรวจจับและป้องกันช่องโหว่ Heartbleed แล้ว สามารถอัพเดทได้ทันที
• SIEM: อัพเดทกฏสำหรับใช้ป้องกัน Heartbleed สำหรับ NitroSecurity IPS / McAfee NTP และ ACL สำหรับจำกัดการเข้าถึงเว็บไซต์
• MVM (McAfee Vulnerability Manager): เรียกใช้เพื่อตรวจสอบช่องโหว่ Heartbleed ในระบบได้
• สามารถตรวจสอบช่องโหว่ Heartbleed ฟรีได้ที่ http://www.mcafee.com/heartbleed
• รายละเอียดเพิ่มเติม: https://kc.mcafee.com/corporate/index?page=content&id=SB10071

Palo Alto Networks

• PAN สามารถถอดรหัสทราฟฟิคทั้งหมดที่ Application Layer โดยไม่สนใจหมายเลขพอร์ทและโปรโตคอล รวมถึง SSL/TLS ส่งผลให้ PAN สามารถตรวจจับความผิดปกติของทราฟฟิคได้ทั้งหมดเหมือนปกติ (ในกรณี Heartbleed คือ ทราฟฟิคผิดปกติใน SSL)
• Threat Prevention ได้มีการออกฐานข้อมูลภัยคุกคามใหม่ตั้งแต่วันที่ 9 เมษายน เพื่อตรวจจับและป้องกันช่องโหว่ Heartbleed (Content Updates 429 และ 430 โดยมี IPS vulnerability signature IDs 36416, 36417, 36418 และ 40039)
• รายละเอียดเพิ่มเติม: http://researchcenter.paloaltonetworks.com/2014/04/real-world-impact-heartbleed-cve-2014-0160-web-just-start/

Trend Micro

• Deep Security: ออกแพทช์ใหม่เพื่อตรวจจับและป้องกันช่องโหว่ Hearbleed เรียบร้อยแล้ว โดยสามารถเรียกใช้กฏการป้องกัน CVE-2014-0160 ได้ทันที
• Deep Discovery: เรียกใช้เพื่อตรวจสอบช่องโหว่ Heartbleed ในระบบได้
• Deep Security for Web Apps: สามารถทำการ Re-issue SSL Certificate ใหม่ได้ทันทีโดยไม่ต้องเสียค่าใช้จ่ายแต่อย่างใด
• รายละเอียดเพิ่มเติม: http://www.trendmicro.com/us/security/heartbleed/index.html

WatchGuard

• วันที่ 15 เมษายน WatchGuard IPS service ได้ออกฐานข้อมูลภัยคุกคามใหม่เพื่อป้องกัน Heartbleed (เวอร์ชัน v4.404) ซึ่งผู้ใช้งานสามารถอัพเดทได้ทันที
• รายละเอียดเพิ่มเติม: http://customers.watchguard.com/articles/Article/Is-my-Firebox-or-XTM-device-affected-by-the-Heartbleed-vulnerability-CVE-2014-0160/?l=en_US&fs=Search&pn=1

ข้อมูลเกี่ยวกับ Heartbleed: http://www.techtalkthai.com/openssl-heartbleed-are-we-vulnerable/

เว็บไซต์ทางการของ Heartbleed: http://heartbleed.com/

CVE-2014-0160: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160