Video: Heartbleed Exploit - Discovery & Exploitation (November 2024)
In april kwamen we erachter dat een bug in de populaire OpenSSL-codebibliotheek aanvallers in staat zou kunnen stellen geheugen op te halen van zogenaamd beveiligde servers, waardoor mogelijk inloggegevens, privésleutels en meer worden vastgelegd. Nagesynchroniseerd "Heartbleed", deze bug bestond al jaren voordat hij werd ontdekt. De meeste discussies over deze bug gingen ervan uit dat hackers hem tegen beveiligde servers zouden gebruiken. Een nieuw rapport toont echter aan dat het gemakkelijk kan worden misbruikt op zowel servers als eindpunten met Linux en Android.
Luis Grangeia, een onderzoeker bij SysValue, creëerde een proof-of-concept codebibliotheek die hij "Cupido" noemt. Cupido bestaat uit twee patches voor bestaande Linux-codebibliotheken. De ene laat een "kwaadaardige server" toe om Heartbleed te exploiteren op kwetsbare Linux- en Android-clients, terwijl de andere toestaat dat een "slechte server" Linux-servers aanvalt. Grangeia heeft de broncode vrij beschikbaar gemaakt, in de hoop dat andere onderzoekers meedoen om meer te weten te komen over wat voor soort aanvallen mogelijk zijn.
Niet alle zijn kwetsbaar
Cupido werkt specifiek tegen draadloze netwerken die het Extensible Authentication Protocol (EAP) gebruiken. Uw draadloze thuisrouter gebruikt vrijwel zeker geen EAP, maar de meeste oplossingen op ondernemingsniveau wel. Volgens Grangeia gebruiken zelfs sommige bekabelde netwerken EAP en zijn daarom kwetsbaar.
Een systeem met de Cupido-code heeft drie mogelijkheden om gegevens uit het geheugen van het slachtoffer te halen. Het kan aanvallen voordat de beveiligde verbinding zelfs is gemaakt, wat een beetje alarmerend is. Het kan aanvallen na de handdruk die de beveiliging tot stand brengt. Of het kan aanvallen nadat toepassingsgegevens zijn gedeeld.
Wat precies datgene is wat een met Cupido uitgerust apparaat kan vastleggen, heeft Grangeia niet uitgebreid bepaald dat, hoewel "vluchtige inspectie interessante dingen vond op zowel kwetsbare clients als servers." Of deze "interessante dingen" privésleutels of gebruikersreferenties kunnen bevatten, is nog niet bekend. Een deel van de reden voor het vrijgeven van de broncode is om meer hersenen aan het werk te krijgen om dergelijke details te ontdekken.
Wat kan je doen?
Android 4.1.0 en 4.1.1 gebruiken beide een kwetsbare versie van OpenSSL. Volgens een rapport van Bluebox zijn latere versies technisch kwetsbaar, maar het heartbeat-berichtensysteem is uitgeschakeld, waardoor Heartbleed niets te exploiteren heeft.
Als uw Android-apparaat 4.1.0 of 4.1.1 gebruikt, upgrade dan indien mogelijk. Als dit niet het geval is, adviseert Grangeia dat "u geen verbinding moet maken met onbekende draadloze netwerken tenzij u een upgrade van uw ROM uitvoert".
Linux-systemen die draadloos verbinding maken, zijn kwetsbaar tenzij OpenSSL is gepatcht. Degenen die dergelijke systemen gebruiken, moeten nogmaals controleren of de patch op zijn plaats zit.
Wat betreft bedrijfsnetwerken die EAP gebruiken, stelt Grangeia voor dat ze het systeem laten testen door SysValue of een ander bureau.
Macs, Windows-boxen en iOS-apparaten worden niet beïnvloed. Voor een keer is het Linux dat in de problemen zit. Je kunt het volledige bericht van Grangeia hier lezen of hier een presentatie van de diavoorstelling bekijken. Als je zelf onderzoeker bent, wil je misschien de code pakken en een beetje experimenteren.
