Infos

Une attaque ciblee utilise la vulnerabilite Heartbleed pour detourner des sessions VPN

Une attaque ciblée contre une organisation dont le nom n’a pas été communiqué a exploité la vulnérabilité OpenSSL Heartbleed pour détourner des sessions Web réalisées via une connexion VPN.

La société Mandiant, spécialisée dans la réaction aux incidents et dans les enquêtes, a publié des détails d’une enquête récente concernant un incident qui a débuté le 8 avril, un jour après la divulgation de Heartbleed. D’après Mandiant, les attaquants ont exploité la vulnérabilité de sécurité dans OpenSSL exécuté dans le concentrateur SSL pour VPN de son client, afin d’accéder à distance à des sessions actives.

Il s’agit de la dernière attaque d’une série toujours plus agressive qui exploite la vulnérabilité Heartbleed au niveau de l’implémentation de l’extension heartbeat dans OpenSSL qui, si elle est activée, renvoie 64 Ko de texte en clair à n’importe quel client ou serveur qui sollicite une connexion. On signale déjà des attaques dans le cadre desquelles Heartbleed a permis de voler des noms d’utilisateur, des ID de session, des information d’identification et d’autres données en clair. Vers la fin de la semaine dernière, on apprenait que des chercheurs avaient réussi à regrouper suffisamment d’informations pour reproduire une clé SSL privée.

Au début de cette semaine, des chercheurs en Suède ont réussi à exploiter Heartbleed pour extraire des clés privées sur OpenVPN, un logiciel VPN open source.

Les révélations de Mandiant sont le premier cas connu d’attaque dans le monde réel contre une organisation en offrant un accès à distance via Heartbleed.

Mandiant a déclaré que l’attaquant avait été en mesure de voler des jetons de session de l’utilisateur afin de contourner le système d’authentification à plusieurs facteurs de l’organisation et le logiciel VPN utilisé pour valider l’authenticité des systèmes qui se connectent aux ressources réseau.

Christopher Glyer et Chris DiGiamo, enquêteurs chez Mandiant, ont expliqué : « Pour être exact, l’attaquant a envoyé à plusieurs reprises des requêtes de type heartbeat mal formées au serveur Web HTTPS exécuté sur l’appareil VPN, qui utilisait une version vulnérable d’OpenSSL, afin d’obtenir des jetons de session active pour les utilisateurs authentifiés. Grâce au jeton de session active, l’attaquant a pu détourner plusieurs sessions d’utilisateur actives et convaincre le concentrateur VPN qu’il avait bien été authentifié. »

Dans la mesure où le code d’exploitation Heartbleed ne renvoie que 64 Ko de mémoire pour chaque requête de type heartbeat, les attaquants doivent répéter une attaque à plusieurs reprises afin de pouvoir voler des données qui soient utiles. Dans ce cas-ci, Mandiant a indiqué qu’une signature IDS spécialement créée pour Heartbleed avait déclenché plus de 17 000 alertes pendant l’attaque.

Bien que les requêtes de type heartbeat ne laissent aucune trace, Mandiant affirme avoir pu récolter des preuves des attaques non seulement via les alertes IDS, mais également dans les journaux VPN de l’entreprise. En effet, un adresse IP malveillante déclenchait les alertes IDS quand l’attaquant tentait d’atteindre le SSL pour VPN de la société. Les principales preuves figuraient dans les journaux VPN où l’on pouvait voir le changement rapide des connexions VPN actives, parfois en l’espace de quelques secondes, entre l’adresse IP de l’attaquant et l’adresse IP légitime de l’utilisateur ; il y a également des indices géographiques car les adresses IP étaient très distantes, d’après Mandiant, et appartenaient à différents FAI. Mandiant affirme qu’elle a également été en mesure de mettre en rapport ces alertes IDS avec les modifications de connexion dans les journaux VPN.

Christopher Glyer et Chris DiGiamo écrivent : « Une fois connecté au VPN, l’attaquant a tenté de se déplacer latéralement et d’élever ses autorisations avec le bogue Heartbleed ».

threatpost

Une attaque ciblee utilise la vulnerabilite Heartbleed pour detourner des sessions VPN

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception