neprihlásený Nedeľa, 28. februára 2021, dnes má meniny Zlatica
Pomocou Heartbleed je možné ukradnúť aj OpenVPN kľúče

Značky: OpenVPNHeartbleedOpenSSLbezpečnosť

DSL.sk, 17.4.2014


Pomocou extrémne kritickej zraniteľnosti Heartbleed v knižnici OpenSSL je definitívne reálne možné ukradnúť privátne kľúče aj k SSL certifikátom používaným OpenVPN, populárnou implementáciou riešenia virtuálnej privátnej siete.

Zraniteľnosť Heartbleed, ktorú sme detailne popisovali v tomto článku, umožňuje kradnúť údaje z pamäte zraniteľného procesu používajúceho knižnicu OpenSSL, napríklad webového servera poskytujúceho zabezpečené webové stránky.

OpenVPN používa OpenSSL na autentifikáciu a výmenu kľúčov, predpoklad potenciálneho ukradnutia kľúčov z OpenVPN podobne ako u webových serverov poskytujúcich HTTPS stránky existoval už od zverejnenia informácií o zraniteľnosti na začiatku minulého týždňa.

Kým u webových serverov, konkrétne u nginx na Ubuntu, bolo prvýkrát demonštrované praktické získanie privátneho kľúča k certifikátu minulý piatok, u OpenVPN sa to podarilo v stredu Fredrikovi Strömbergovi.

Strömberg získal privátny kľúč z OpenVPN servera na Ubuntu 12.04 s OpenVPN 2.2.1 a OpenSSL 1.0.1-4ubuntu5.11, na jeho získanie musel zo servera preniesť viac ako 1 a menej ako 10 GB dát, presnú hodnotu neuviedol. Jednou Heartbeat správou može útočník získať maximálne cca 64 KB dát z pamäte zariadenia, na ktoré útočí.

Či sa zraniteľnosť Heartbleed úspešne používala aj na útoky proti OpenVPN nie je zatiaľ známe, používateľom OpenVPN je ale po aktuálnom zistení odporúčané minimálne z preventívnych dôvodov vymeniť kľúče. Získané kľúče z OpenVPN servera umožňujú útočníkovi vydávať sa za tento server a prípadne realizovať následne útok pomocou Heartbleed voči klientom.


      Zdieľaj na Twitteri



Najnovšie články:

Satelitné TV vysielanie je v týchto dňoch rušené Slnkom
Ďalšie Starlink satelity má SpaceX vyniesť v noci na pondelok
Helikoptéra na Marse beží na Linuxe
NASA zverejnila detailnú panorámu okolia Perseverance na Marse
Google použil svoj podmorský kábel na detekciu zemetrasení
Posledná verzia Windows 10 dosiahla 20%
Ohlásená prvá SD Express karta
Google bude platiť dvoch vývojárov pracujúcich len na bezpečnosti linuxového jadra
HP kupuje časť HyperX
Samsung uvedie notebook s vlastným ARM procesorom


Diskusia:
                               
 

najnovsie: pomocou zranitelnosti heartbleed bol dnes odcudzeny rohlik v obchodnom retazci TESCO...

Odpovedať Známka: 6.5 Hodnotiť:
 

...bol dnes odcudzený ROŽOK...
Odpovedať Známka: 6.8 Hodnotiť:
 

on mal na mysli ceske TESCO
Odpovedať Známka: 6.8 Hodnotiť:
 

Aha, értem.
Odpovedať Známka: 10.0 Hodnotiť:
 

V nadpise je "Pomocou Heartbleed je možné..." a v texte je "Jednou Heartbeat správou može...".
Myslim, ze by to malo byt iba "heartbleed".
Odpovedať Známka: -10.0 Hodnotiť:
 

srdce bije. (v tomto pripade kazdy uder znamena nejaku odozvu na to, ci je system zivy)
preto heartbeat.

srdce pumpuje krv. (v tomto pripade zneuzivanie odozvy na ziskanie dat - teda kradnutie niecoho, co ti nepatri)
preto heartbleed.
Odpovedať Známka: 10.0 Hodnotiť:
 

Do firewallu:

# Log rulez
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \
"52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \
"52=0x18030000:0x1803FFFF" -j DROP
Odpovedať Známka: 5.6 Hodnotiť:
 

Nie je to take jednoduche. Toto ti pomoze iba proti jednoduchym exploitom, ktore maju tuto signaturu na zaciatku paketu. Pred par dnami sa jednemu tipkovi podarilo spravit exploit odolny voci tomuto filtrovaniu, ked zabezpecil aby kazdy paket zacinal inymi datami.
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak prida na obdobnu klasifikaciu este frontu s rychlostou 1 byte/sec a "hacker" to radsej vzda, aby nemusel nekonecne cakat... ;)

Odpovedať Známka: 10.0 Hodnotiť:
 

A mozno to este trosku vylepsit napriklad:
iptables -A INPUT ! -i lo -p tcp -m multiport --destination-port 443,943,993,995,1194 -m u32 --u32
"52=0x18030000:0x1803FFFF" -m limit --limit 5/h -j LOG

--log-level debug --log-prefix "Firewall: Heartbleed"
iptables -A INPUT ! -i lo -p tcp -m multiport --destination-port 443,943,993,995,1194 -m u32 --u32
"52=0x18030000:0x1803FFFF" -j DROP

iptables -A INPUT ! -i lo -p udp --dport 1194 -m u32 --u32
"52=0x18030000:0x1803FFFF" -m limit --limit 5/h -j LOG

--log-level debug --log-prefix "Firewall: Heartbleed"
iptables -A INPUT ! -i lo -p udp --dport 1194 -m u32 --u32
"52=0x18030000:0x1803FFFF" -j DROP
Odpovedať Známka: 10.0 Hodnotiť:
 

srdce mi krváca
Odpovedať Známka: 8.2 Hodnotiť:
 

hej ? seres kravave hovna ? nejedz vela cvikly
Odpovedať Známka: -6.7 Hodnotiť:
 

tak z tohoto hlaska nebude :(
Odpovedať Známka: 6.7 Hodnotiť:
 

Co cakas ked vychodil len zakladnu skolu.
Odpovedať Známka: 7.1 Hodnotiť:
 

ale v stropkove, to je ako stredna v petrzalke :)
Odpovedať Známka: 6.0 Hodnotiť:
 

stropkov? to kde je?
Odpovedať Známka: 5.0 Hodnotiť:

Pridať komentár