Une attaque ciblee utilise la vulnerabilite Heartbleed pour detourner des sessions VPN

Une attaque ciblée contre une organisation dont le nom n’a pas été communiqué a exploité la vulnérabilité OpenSSL Heartbleed pour détourner des sessions Web réalisées via une connexion VPN.

La société Mandiant, spécialisée dans la réaction aux incidents et dans les enquêtes, a publié des détails d’une enquête récente concernant un incident qui a débuté le 8 avril, un jour après la divulgation de Heartbleed. D’après Mandiant, les attaquants ont exploité la vulnérabilité de sécurité dans OpenSSL exécuté dans le concentrateur SSL pour VPN de son client, afin d’accéder à distance à des sessions actives.

Il s’agit de la dernière attaque d’une série toujours plus agressive qui exploite la vulnérabilité Heartbleed au niveau de l’implémentation de l’extension heartbeat dans OpenSSL qui, si elle est activée, renvoie 64 Ko de texte en clair à n’importe quel client ou serveur qui sollicite une connexion. On signale déjà des attaques dans le cadre desquelles Heartbleed a permis de voler des noms d’utilisateur, des ID de session, des information d’identification et d’autres données en clair. Vers la fin de la semaine dernière, on apprenait que des chercheurs avaient réussi à regrouper suffisamment d’informations pour reproduire une clé SSL privée.

Au début de cette semaine, des chercheurs en Suède ont réussi à exploiter Heartbleed pour extraire des clés privées sur OpenVPN, un logiciel VPN open source.

Les révélations de Mandiant sont le premier cas connu d’attaque dans le monde réel contre une organisation en offrant un accès à distance via Heartbleed.

Mandiant a déclaré que l’attaquant avait été en mesure de voler des jetons de session de l’utilisateur afin de contourner le système d’authentification à plusieurs facteurs de l’organisation et le logiciel VPN utilisé pour valider l’authenticité des systèmes qui se connectent aux ressources réseau.

Christopher Glyer et Chris DiGiamo, enquêteurs chez Mandiant, ont expliqué : « Pour être exact, l’attaquant a envoyé à plusieurs reprises des requêtes de type heartbeat mal formées au serveur Web HTTPS exécuté sur l’appareil VPN, qui utilisait une version vulnérable d’OpenSSL, afin d’obtenir des jetons de session active pour les utilisateurs authentifiés. Grâce au jeton de session active, l’attaquant a pu détourner plusieurs sessions d’utilisateur actives et convaincre le concentrateur VPN qu’il avait bien été authentifié. »

Dans la mesure où le code d’exploitation Heartbleed ne renvoie que 64 Ko de mémoire pour chaque requête de type heartbeat, les attaquants doivent répéter une attaque à plusieurs reprises afin de pouvoir voler des données qui soient utiles. Dans ce cas-ci, Mandiant a indiqué qu’une signature IDS spécialement créée pour Heartbleed avait déclenché plus de 17 000 alertes pendant l’attaque.

Bien que les requêtes de type heartbeat ne laissent aucune trace, Mandiant affirme avoir pu récolter des preuves des attaques non seulement via les alertes IDS, mais également dans les journaux VPN de l’entreprise. En effet, un adresse IP malveillante déclenchait les alertes IDS quand l’attaquant tentait d’atteindre le SSL pour VPN de la société. Les principales preuves figuraient dans les journaux VPN où l’on pouvait voir le changement rapide des connexions VPN actives, parfois en l’espace de quelques secondes, entre l’adresse IP de l’attaquant et l’adresse IP légitime de l’utilisateur ; il y a également des indices géographiques car les adresses IP étaient très distantes, d’après Mandiant, et appartenaient à différents FAI. Mandiant affirme qu’elle a également été en mesure de mettre en rapport ces alertes IDS avec les modifications de connexion dans les journaux VPN.

Christopher Glyer et Chris DiGiamo écrivent : « Une fois connecté au VPN, l’attaquant a tenté de se déplacer latéralement et d’élever ses autorisations avec le bogue Heartbleed ».

threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *