Video: Heartbleed Exploit - Discovery & Exploitation (September 2024)
I april fick vi veta att ett fel i det populära OpenSSL-kodbiblioteket kan göra det möjligt för angripare att skaffa upp minne från förment säkra servrar, eventuellt fånga inloggningsuppgifter, privata nycklar och mer. Döpt "Heartbleed", det här felet fanns i flera år innan det upptäcktes. De flesta diskussioner om detta fel antog att hackare skulle använda det mot säkra servrar. En ny rapport visar dock att den enkelt kan utnyttjas på både servrar och slutpunkter som kör Linux och Android.
Luis Grangeia, forskare på SysValue, skapade ett proof-of-concept-kodbibliotek som han kallar "Cupid." Cupid består av två patchar till befintliga Linux-kodbibliotek. Den ena tillåter en "ond server" att utnyttja Heartbleed på sårbara Linux- och Android-klienter, medan den andra tillåter en "ond klient" att attackera Linux-servrar. Grangeia har gjort källkoden fritt tillgänglig i hopp om att andra forskare kommer att gå med för att lära sig mer om vilken typ av attacker som är möjliga.
Inte alla är sårbara
Cupid fungerar specifikt mot trådlösa nätverk som använder EAP (Extensible Authentication Protocol). Din trådlösa hem router använder nästan säkert inte EAP, men de flesta lösningar på Enterprise-nivå gör det. Enligt Grangeia använder även vissa trådbundna nätverk EAP och därmed skulle det vara sårbart.
Ett system som har lappats med Cupid-koden har tre möjligheter att hämta data från offrets minne. Det kan attackera innan den säkra anslutningen till och med görs, vilket är lite alarmerande. Det kan attackera efter handskakningen som säkerställer säkerhet. Eller så kan den attackera efter att applikationsdata har delats.
När det gäller precis vad en Cupid-utrustad enhet kan fånga har Grangeia inte i stor utsträckning fastställt att, även om "flödesinspektion hittade intressanta saker på både utsatta klienter och servrar." Huruvida dessa "intressanta grejer" kan inkludera privata nycklar eller användaruppgifter är ännu inte känt. En del av anledningen till att släppa källkoden är att få fler hjärnor som arbetar med att upptäcka sådana detaljer.
Vad kan du göra?
Android 4.1.0 och 4.1.1 använder båda en sårbar version av OpenSSL. Enligt en rapport från Bluebox är senare versioner tekniskt sårbara, men meddelandesystemet för hjärtslag är inaktiverat, vilket ger Heartbleed ingenting att utnyttja.
Om din Android-enhet kör 4.1.0 eller 4.1.1, uppgradera om möjligt. Om inte, rekommenderar Grangeia att "du bör undvika att ansluta till okända trådlösa nätverk om du inte uppgraderar din ROM."
Linux-system som ansluter via trådlöst är sårbara såvida inte OpenSSL har korrigerats. De som använder sådana system bör dubbelkontrollera för att se till att korrigeringen är på plats.
När det gäller företagsnätverk som använder EAP föreslår Grangeia att de får testat systemet av SysValue eller någon annan byrå.
Mac, Windows-lådor och iOS-enheter påverkas inte. För en gångs skull är det Linux som är i problem. Du kan läsa Grangeias hela inlägg här eller visa en bildspelpresentation här. Om du själv är forskare kan du ta tag i koden och göra lite experiment.
