Hiába hozták lassan három éve nyilvánosságra a Heartbleed néven elhíresült OpenSSL sebezhetőséget, a mai napig több mint 199 ezer weboldalon található meg a biztonsági rés. A Shodan jelentés szerint a TLS/DTLS heartbeat kiterjesztés implementációjának hibája, ami 2014-ben a webszerverek 66 százalékát érintette, a mai napig jelen van.
[+]
Az USA területén 42 ezer, Koreában 15 ezer, Kínában és Németországban 14-14 ezer, Magyarországon pedig 821 webes kiszolgálón nem frissítettek annak ellenére, hogy ezen keresztül távolról is elérhetőek a kommunikációs csatornák titkosítására használt privát kulcsok. A szervertanúsítványé is, amivel gyakorlatilag minden információhoz hozzáférhet a támadó, ha akar.
Nem véletlenül jelölte a Google legmagasabb szintű sérülékenységként az esetet, amit a nyilvánossá válást követően ugyan gyorsan javítottak az OpenSSL 1.0.1-es főverzióban, úgy tudni, előtte már évekig kihasználták a rést a hírszerzés, illetve a titkosszolgálatok emberei.
[+]
A legtöbb sebezhető oldal az amazonaws.com domén alatt fut, jellemzően a Linux 3.x verziói érintettek. A közel kétszázezer szerver közül 75 ezer lejárt SSL tanúsítvánnyal működik, tehát a rendszergazda nem nagyon foglalkozik ezekkel. Leggyakrabban az Apache httpd, az nginx, vagy a Fortinet FortiWIFI 80C tűzfal esetében találkozni a még mindig létező sebezhetőséggel.
