Разработчики OpenSSL опубликовали первые данные о результатах разбора причин взлома сайта проекта. Сайт проекта был размещён не на отдельном сервере, а в облачном окружении шведского хостинг-провайдера Indit Hosting AB. Атакующие получили доступ к содержимому окружения через эксплуатацию уязвимости в гипервизоре, предварительно взломав незащищённое виртуальное окружение другого клиента, размещённого на том же физическом сервере.
Какая именно уязвимость была эксплуатирована и в каком гипервизоре не сообщается (провайдером используются VMware ESXi и KVM). Также неизвестно исправлена ли проблема в актуальных выпусках гипервизоров и облачных платформ. Уязвимостей в конфигурации окружения проекта OpenSSL не зафиксировано. Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено.
Взлом сайта OpenSSL является важным прецедентом, подтвердившим реальность атак через уязвимости в облачных инфраструктурах. Размещая важные проекты в облачных системах, владельцы таких проектов становятся зависимыми от своевременного обновления ПО на стороне облачных-провайдеров, а в случае выявления новых уязвимостей в гипервизоре, от наиболее незащищённого окружения на том же физическом сервере. До сих пор опасность такого рода атак носила теоретический характер, но теперь явно продемонстрирована на практике. При этом, как правило, у владельцев виртуальных окружений нет возможности проконтролировать состояние низкоуровневых компонентов инфраструктуры виртуализации, которые являются черным ящиком, и могут включать версии гипервизора, содержащего неисправленные уязвимости.