Атака, направленная против неназванной организации, эксплуатировала уязвимость Heartbleed в OpenSSL для перехвата веб-сессий, проходящих по VPN-каналу.

Компания Mandiant, занимающаяся расследованиями компьютерных инцидентов, сообщила некоторые детали касательно последнего расследования инцидента, случившегося 8 апреля, день спустя после публикации сведений о Heartbleed. Mandiant сообщила, что злоумышленники использовали уязвимость в OpenSSL в SSL VPN-концентраторе клиента для получения доступа к активным сессиям.

Это лишь последняя из нарастающей серии атак, использующих уязвимость Heartbleed, кроющуюся в функции Heartbeat в OpenSSL, которая возвращает 64 Кб памяти в незашифрованном виде любому клиенту или серверу, запросившему соединение. Уже поступают сообщения о том, что злоумышленники используют Heartbleed для кражи имен пользователей, паролей, ID сессии и других данных. В конце прошлой недели появились первые сообщения от исследователей, сумевших собрать через Heartbleed достаточно информации для воспроизведения закрытого ключа SSL.

Несколько дней назад исследователи из Швеции смогли использовать Heartbleed для извлечения закрытых ключей для OpenVPN, VPN-пакета с открытым кодом.

Mandiant сообщила, что злоумышленник смог украсть активные токены пользовательских сессий для обхода многофакторной аутентификации и валидации VPN-концентратором аутентифицированности системы, подключающейся к сетевым ресурсам.

«Злоумышленник многократно отправлял некорректные Heartbeat-запросы на HTTPS веб-сервер, запущенный на VPN-устройстве, скомпилированном с уязвимой версией OpenSSL, для получения токенов активных сессий пользователей, аутентифицированных в данный момент, — написали следователи из Mandiant Кристофер Глиер и Крис ДиДжамо. —  С помощью токена активной сессии злоумышленник успешно перехватил несколько активных пользовательских сессий и убедил VPN-концентратор в том, что они были легитимно аутентифицированы».

Так как Heartbleed возвращает только 64 Кб памяти на каждый Heartbeat-запрос, злоумышленникам приходится повторять атаку снова и снова, чтобы украсть какие-либо стоящие данные. В этом примере, по сообщению Mandiant, IDS-сигнатура, специально написанная для Heartbleed, сработала более 17 тысяч раз во время атаки.

В то время как Heartbeat-запросы не оставляют следов, в Mandiant утверждают, что они смогли найти доказательства атаки не только в виде IDS-предупреждений, но и в VPN-логах компании. Они сообщили, что вредоносный IP-адрес, вызывавший срабатывание IDS-предупреждений, попытался подключиться к SSL VPN компании. Ключевое доказательство было обнаружено в логах VPN, которые показали, что в активных VPN-соединениях быстро менялся — иногда раз в несколько секунд — IP-адрес между IP злоумышленника и IP легитимного пользователя; географически IP-адреса также были разнесены на большое расстояние и принадлежали сетям разных провайдеров. По данным Mandiant, они смогли проследить связь между срабатываниями IDS и изменением IP в логах VPN.

«Будучи подключенным к VPN, злоумышленник попытался продвинуться дальше и повысить свои права доступа с помощью Heartbleed», — написали Глиер и ДиДжамо.

Категории: Уязвимости