Vidéo: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
En avril, nous avons appris qu'un bogue dans la bibliothèque de code OpenSSL, très répandue, pourrait permettre à des attaquants d'extraire de la mémoire sur des serveurs supposément sécurisés, en capturant potentiellement les informations de connexion, les clés privées, etc. Surnommé "Heartbleed", ce virus existait depuis des années avant d'être découvert. La plupart des discussions sur ce bogue supposaient que les pirates informatiques l'utiliseraient contre des serveurs sécurisés. Cependant, un nouveau rapport montre qu'il peut être facilement exploité sur les serveurs et les points de terminaison exécutant Linux et Android.
Luis Grangeia, chercheur à SysValue, a créé une bibliothèque de codes de validation de principe qu'il appelle "Cupid". Cupid consiste en deux correctifs pour les bibliothèques de code Linux existantes. L'un permet à un "serveur diabolique" d'exploiter Heartbleed sur des clients vulnérables Linux et Android, tandis que l'autre permet à un "client diabolique" d'attaquer des serveurs Linux. Grangeia a rendu le code source disponible gratuitement, dans l’espoir que d’autres chercheurs se joignent à nous pour en savoir plus sur les types d’attaques possibles.
Tous ne sont pas vulnérables
Cupid fonctionne spécifiquement contre les réseaux sans fil qui utilisent le protocole EAP (Extensible Authentication Protocol). Il est presque certain que votre routeur domestique sans fil n’utilise pas le protocole EAP, contrairement à la plupart des solutions de niveau entreprise. Selon Grangeia, même certains réseaux filaires utilisent le protocole EAP et seraient donc vulnérables.
Un système corrigé avec le code de Cupidon offre trois possibilités pour extraire des données de la mémoire de la victime. Il peut attaquer avant même que la connexion sécurisée ne soit établie, ce qui est un peu alarmant. Il peut attaquer après la poignée de main qui établit la sécurité. Ou il peut attaquer après le partage des données d'application.
Pour ce qui est de ce qu’un appareil équipé de Cupidon peut capturer, Grangeia n’a pas encore déterminé de manière exhaustive que, même si "une inspection superficielle a révélé des informations intéressantes sur les clients et les serveurs vulnérables". On ne sait pas encore si ces «choses intéressantes» peuvent inclure des clés privées ou des identifiants d’utilisateur. Une partie de la raison de la publication du code source est de faire en sorte que plus de cerveaux travaillent à la découverte de tels détails.
Que pouvez-vous faire?
Android 4.1.0 et 4.1.1 utilisent tous deux une version vulnérable d'OpenSSL. Selon un rapport de Bluebox, les versions ultérieures sont techniquement vulnérables, mais le système de messagerie Heartbeat est désactivé, ne donnant rien à exploiter à Heartbleed.
Si votre appareil Android exécute la version 4.1.0 ou 4.1.1, effectuez une mise à niveau si possible. Dans le cas contraire, Grangeia conseille "d'éviter de vous connecter à des réseaux sans fil inconnus, sauf si vous mettez à niveau votre ROM."
Les systèmes Linux qui se connectent via le sans fil sont vulnérables sauf si OpenSSL a été corrigé. Ceux qui utilisent de tels systèmes doivent revérifier pour s'assurer que le correctif est en place.
En ce qui concerne les réseaux d'entreprise utilisant EAP, Grangeia suggère de faire tester le système par SysValue ou une autre agence.
Les Mac, Windows Box et les appareils iOS ne sont pas affectés. Pour une fois, c'est Linux qui a des problèmes. Vous pouvez lire le post complet de Grangeia ici ou regarder un diaporama ici. Si vous êtes vous-même chercheur, vous voudrez peut-être saisir le code et faire quelques essais.
