Des pirates exploitent Heartbleed pour détourner des sessions VPN

5
124

Les cybercriminels ont trouvé une autre façon d’exploiter Heartbleed, la vulnérabilité critique touchant OpenSSL, permettant cette fois-ci de détourner des sessions de connexions sécurisées actives via un réseau privé virtuel (VPN).

Le bug Heartbleed continue de s’étendre avec à présent aussi des problèmes pour OpenVPN et le système Tor, alors qu’Oracle a publié une liste de produits impactés. L’avertissement avait déjà été lancé, mais à présent, un chercheur suédois, Fredrik Strömberg, a démontré que dans les connexions OpenVPN, les clés privées peuvent être également dérobées. Tout cela s’avère nettement plus compliqué que le vol de clés dans une connexion HTTPS, mais il n’empêche que le conseil est ici aussi d’exécuter les mises à niveau nécessaires le plus vite possible. Les entreprises qui utilisent des connexions VPN, doivent donc vérifier dans les plus brefs délais la présence d’OpenSSL et si oui, de quelle version il s’agit.

Une enquête est en cours concernant l’attaque ciblée qui a eu lieu contre une organisation (non nommée & anonyme) qui a déclaré que des pirates informatiques ont exploité la faille de sécurité Heartbleed touchant OpenSSL qui s’exécute sur le client VPN SSL pour accéder à distance aux sessions actives de réseau interne.

L’incident est le résultat d’attaques tirant parti de la vulnérabilité d’OpenSSL Heartbleed, qui rappelons-le, reviendraient à extraire 64 Ko de mémoire vive en clair à chaque demande de connexion. La vulnérabilité touche près de deux tiers des serveurs Web sur Internet, y compris ceux des sites Web populaires (beaucoup ayant été corrigés rapidement).

Récemment, un adolescent canadien a été interpellé pour piratage et vol d’identifiants, de sessions et d’autres données appartenant à l’Agence du revenu du Canada en exploitant le bug Heartbleed OpenSSL. Cela montre qu’il y a peut-être eu des cybercriminels actifs ayant profité largement du bug Heartbleed…

Le pirate a pu dérober avec succès les jetons de session de l’utilisateur en cours afin de contourner l’authentification multifactorielle de l’organisation et du logiciel client VPN utilisé pour valider l’authenticité des systèmes de connexion au VPN. Plus précisément, l’attaquant a envoyé à plusieurs reprises des demandes de connexion mal-formées au serveur Web HTTPS exécuté sur le VPN, qui a été compilé avec une version vulnérable de OpenSSL, pour obtenir les jetons de session actives pour les utilisateurs actuellement authentifiés“, ont écrit les enquêteurs Christopher Glyer et Chris DiGiamo de Mandiant. Avec un jeton de session active, l’attaquant a pu détourner avec succès plusieurs sessions d’utilisateurs actifs et a convaincu le concentrateur VPN qu’il a été légitimement authentifié.

OpenVPN déjà averti qu’il pourrait être vulnérable à une attaque depuis son logiciel VPN qui utilise OpenSSL par défaut.

Selon la firme, il est clair que l’attaque Heartbleed n’est pas traçable, étant donné que les attaques ne génèrent que 64 Ko de fuite mémoire pour chaque demande de connexion (comparée ici aux battements de cœur, d’où le nom). Ceci dans le but d’extraire des données utiles aux besoins de l’attaquant. Dans cette situation, une signature IDS spécialement écrite pour Heartbleed a déclenché plus de 17 000 alertes lors de l’intrusion. Les chercheurs ont enregistré la preuve que l’attaquant qu’ils ont suivi avait volé les jetons de session des utilisateurs légitimes.

Une fois connecté au VPN, l’attaquant a tenté de se déplacer latéralement et d’élever ses privilèges via les droits de la victime“, ont écrit les chercheurs.

Les chercheurs ont recommandé à toutes les organisations exécutant le logiciel VPN vulnérable à Heartbleed de procéder immédiatement à une mise à niveau avec les patchs disponibles et d’analyser leurs journaux VPN pour savoir si une attaque a déjà eu lieu ou non.

Les commentaires sont fermés.