Vidéo: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Dans la semaine qui a suivi la révélation de la vulnérabilité de Heartbleed dans OpenSSL, des discussions ont eu lieu sur le type d'informations que les attaquants peuvent réellement obtenir en exploitant le bogue. S'avère beaucoup.
Comme Security Watch l’a noté précédemment, Heartbleed est le nom d’un bogue dans OpenSSL qui fuit des informations dans la mémoire de l’ordinateur. (Découvrez la superbe bande dessinée de XKCD expliquant la faille.) Les chercheurs ont découvert que les informations de connexion, les informations des utilisateurs et d'autres informations pouvaient être interceptées en exploitant la faille. Les experts ont pensé qu'il serait également possible d'obtenir la clé privée du serveur de cette façon.
Les certificats et les clés privées permettent de vérifier qu'un ordinateur (ou un appareil mobile) se connecte à un site Web légitime et que toutes les informations transmises sont cryptées. Les navigateurs indiquent une connexion sécurisée avec un cadenas et affichent un avertissement si le certificat est invalide. Si les attaquants pouvaient voler des clés privées, ils pourraient créer un faux site Web qui aurait l'air légitime et intercepterait des données utilisateur sensibles. Ils seraient également en mesure de décrypter le trafic réseau crypté.
Le test de surveillance de la sécurité
Curieux de voir ce que nous pourrions faire avec un serveur exécutant une version vulnérable d'OpenSSL, nous avons démarré une instance de Kali Linux et chargé le module Heartbleed pour Metasploit, une infrastructure de test d'intrusion de Rapid7. Le bogue était assez facile à exploiter et nous avons reçu des chaînes de la mémoire du serveur vulnérable. Nous avons automatisé le processus pour continuer à frapper le serveur avec des demandes répétées tout en effectuant diverses tâches sur le serveur. Après une journée entière de tests, nous avions collecté beaucoup de données.
Obtenir des noms d'utilisateur, des mots de passe et des identifiants de session s'est avéré assez facile, même s'ils ont été enfouis dans ce qui ressemble à un tas de choses fantaisistes. Dans un scénario réel, si j'étais un attaquant, les informations d'identification peuvent être volées très rapidement et furtivement, sans nécessiter beaucoup de compétences techniques. Cependant, il y a un élément de chance, car la demande devait atteindre le serveur au bon moment, lorsque quelqu'un se connectait ou interagissait avec le site pour obtenir les informations "en mémoire". Le serveur devait également toucher la partie droite de la mémoire et, pour l'instant, nous n'avons pas encore trouvé de moyen de contrôler cela.
Aucune clé privée n'apparaît dans nos données collectées. C'est bien, non? Cela signifie qu'en dépit de nos pires scénarios, il n'est pas facile de récupérer des clés ou des certificats auprès de serveurs vulnérables - une chose de moins à craindre pour nous tous dans ce monde d'après Heartbleed.
Même les gens intelligents de Cloudflare, une entreprise qui fournit des services de sécurité pour les sites Web, semblaient convenir que ce n’était pas un processus facile. Pas impossible, mais difficile à faire. "Nous avons passé beaucoup de temps à effectuer des tests approfondis pour déterminer ce qui pouvait être exposé via Heartbleed et, plus précisément, pour déterminer si les données de clé SSL privée étaient en danger", a déclaré Nick Sullivan, ingénieur système chez Cloudflare. blog de l'entreprise la semaine dernière. "Si c'est possible, c'est au minimum très dur", a ajouté Sullivan.
La société a mis en place un serveur vulnérable la semaine dernière et a demandé à la communauté de la sécurité d'essayer d'obtenir la clé de chiffrement privée du serveur à l'aide du bogue Heartbleed.
Mais en fait…
Vient maintenant le pouvoir du crowdsourcing. Neuf heures après que Cloudflare eut lancé son défi, un chercheur en sécurité a réussi à obtenir la clé privée après avoir envoyé 2, 5 millions de requêtes au serveur. Un second chercheur a réussi à faire la même chose avec beaucoup moins de demandes - environ 100 000, a déclaré Sullivan. Deux autres chercheurs ont emboîté le pas au cours du week-end.
"Ce résultat nous rappelle de ne pas sous-estimer le pouvoir de la foule et souligne le danger posé par cette vulnérabilité", a déclaré Sullivan.
Nous sommes revenus à notre configuration de test. Cette fois-ci, nous avons utilisé le programme heartleech de Robert Graham, PDG d’Errata Security. Cela a pris des heures, consommé beaucoup de bande passante et généré des tonnes de données, mais nous avons finalement obtenu la clé. Nous devons maintenant tester contre d’autres serveurs pour nous assurer que ce n’est pas un hasard. Security Watch explorera également comment le fait qu'OpenSSL soit installé sur des routeurs et d'autres équipements réseau met ces périphériques en danger. Nous mettrons à jour lorsque nous aurons plus de résultats.
Au lieu d'être improbable, "n'importe qui peut facilement obtenir une clé privée", a conclu Graham. C'est une pensée effrayante.
