در تاریخ هفتم آوریل 2014، اشکال بزرگی بر روی سرویس OpenSSL با نام خونریزی قلبی کشف شد. این باگ به هکرها امکان دسترسی به نام کاربری و کلمه عبور کش شده در حافظه سیستم هایی که با پروتکل های SSL/TLS در فضای اینترنت رمزگذاری شده اند را می دهد.
SSL/TLS امنیت ارتباطات و حریم شخصی کاربران در اینترنت برای کاربردهایی از قبیل وب، ایمیل، پیام های فوری(IM) و برخی از شبکه های مجازی اختصاصی (VPN ها ) را برقرار می کنند. اشکال خونریزی قلب به هکر ها اجازه خواندن حافظه سیستم های محافظت شده با ورژن آسیب پذیر نرم افزار OpenSSL را می دهد. هکر ها توسط این باگ، ارتباطات را استراق سمع می کنند و اطلاعات را به طور مستقیم از سرویس ها و کاربران می دزدند. این اشکال در پی یک اشتباه در کدنویسی OpenSSl بوجود آمدهاست.
علاوه بر اطلاعات کاربران عادی، تجهیزات امنیتی ای که در صنایع گوناگون نیز استفاده می گردند می تواند مورد حمله هکرها از طریق باگ خونریزی قلبی قرار گیرند. به طور مثال، احتمال دسترسی مدیریتی هکرها به روترها و فایروال های صنعتی وجود دارد. همچنین آن ها می توانند با دور زدن مراحل احراز هویت، از طریق SSL VPN به شبکه داخلی صنایع دسترسی پیدا کنند و اقدامات خرابکارانه ای را موجب شوند. گزارش هایی از این اقدامات خرابکارانه در چند روز گذشته منتشر شده است. این اقدامات نگرانی های امنیتی برای صنایع حساس نظیر پست های برق، پتروشیمی ها و ..... که کنترلرهای دور افتاده آن ها در سایت ها از طریق پروتکل رمزگذاری شده با سیستم کنترل مرکزی ارتباط می گیرند، بوجود آورده است.
این باگ را خونریزی قلبی می نامند، به دلیل این که در اجرای پروتکل امنیت لایه انتقال OpenSSL می باشد و وقتی که بکار می افتد، منجر به نشت اطلاعات حافظه از سرور به کلاینت و برعکس از کلاینت به سرور می شود. این اشکال امنیتی خطرناک مرتبط با مدیریت حافظه در ماژول Heartbeats برنامه هست. این مشکل امنیتی میتواند در هر تپش اکستنشن Heartbeat نرم افزار OpenSSL، تا ۶۴ کیلو بایت اطلاعات از حافظه مربوط به همین نرمافزار در RAM رایانه را در اختیار مهاجم قرار دهد.
ساز و کار این حفره امنیتی به این صورت است که شخص مهاجم یک در خواست هارت بیت (تپش قلب) دستکاری شده را به سروری که در حال اجرای OpenSSL است میفرستد و منتظر پاسخ سرور میماند. از آنجایی که مشکل کنترل دامنه متغیر در برنامه نویسی OpenSSL وجود داشته، برنامه نمیتواند صحت درخواست مهاجم را ارزیابی نماید و این مسئله موجب میشود که برنامه به درخواست مهاجم پاسخ دهد و ۶۴ کیلوبایت از حافظه برنامه را به شکل تصادفی بخواند و برای مهاجم ارسال نماید. در حین حمله، هر تپش قلب 64 کیلوبیت از پکتهایی که با استفاده از پروتکل Transport Layer Security V1 با سرور رد و بدل میشوند و در حافظه سیستم ذخیره میشوند را آشکار میکند و به مهاجم ارسال میکند. حال اگر این عمل تکرار شود اطلاعاتی از جمله نام کاربری و پسورد سرور و یا پسورد مدیران و یا اطلاعات کاربران و یا هر اطلاعات امنیتی دیگری مانند کوکیها نیز به دست خواهند آمد.
بسیاری از سایت ها و سرور های بزرگ از سرویس OpenSSl استفاده می کنند. تقریبا می توان گفت که از هر سه سرور، دو سرور از این سرویس استفاده می کنند. بسیاری از کارشناسان معتقدند که باگ خونریزی قلبی یکی از مخربترین اشکالات امنیتی بوده است که ممکن است خسارات زیادی را برای کاربران و حساب های شخصی و بانکی آن ها ایجاد کرده باشد. مادامی که ورژن آسیب پذیر OpenSSL استفاده گردد، این سیستم می تواند مورد حمله و سرقت اطلاعات قرار گیرد. در حال حاضر ورژن اصلاح شده OpenSSL آماده شده است. از آنجائیکه اکنون ورژن های اصلاح شده برای سیستم های عامل، تجهیزات شبکه و نرم افزار ها در دسترس است ، فروشندگان سیستم های عامل، تجهیزات سخت افزاری، نرم افزارها، باید تغییرات را اعمال کنند و کاربران خود را از این مسئله آگاه سازند.
حمله هکرها به تجهیزات شبکه های صنعتی که در صنایع مختلف استفاده می گردند نیز می تواند باعث بروز خرابی های زیادی گردد. از این رو کمپانی های تولید کننده این تجهیزات باید در زمان بروز این حملات در سریعترین زمان ممکن نسبت به اصلاح سیستم های خود اقدام کنند تا خطرات احتمالی را کاهش دهند. کمپانی وسترمو اولین شرکت تولید کننده فایروال، مودم و سوئیچ صنعتی است که در فاصله زمانی سه روز پس از انتشار خبر حمله هکر ها با استفاده از باگ خونریزی قلبی، سیستم عامل خود به نام WeOS (Westermo Operating System) که از نرم افزار OpenSSl استفاده می کرد را با استفاده از ورژن جدید آن به روز رسانی کرد و در اختیار کابران قرار داد.
این کمپانی ورژن جدید سیستم WeOS و فریم های جدید دستگاه ها را در وب سایت خود قرار داده است و به مشتریان خود توصیه کرده است که با بروز رسانی فریم ویر جدید بر روی دستگاه های خریداری شده این شرکت، مانع حملات هکر ها به صنایع مختلف شوند. در اطلاعیه این شرکت آمده است: " وسترمو از کدهای OpenSSL برای سیستم عامل WeOS ورژن 4.12.0 که در تاریخ 14 جون 2013 عرضه شده، استفاده نموده است. اگرچه این مسئله برای سرورهایی که مستقیما به اینترنت وصل می شوند، مهم است اما ما معتقدیم که رخنه های امنیتی مهم است و تصمیم گرفتیم که بلافاصله فرم ویر به روز شده جدید برای استفاده کاربرانی که دغدغه خطرات امنیتی را دارند، منتشر نمائیم."