Pomocou Heartbleed je možné ukradnúť aj OpenVPN kľúče

Značky: OpenVPNHeartbleedOpenSSLbezpečnosť

DSL.sk, 17.4.2014

Pomocou extrémne kritickej zraniteľnosti Heartbleed v knižnici OpenSSL je definitívne reálne možné ukradnúť privátne kľúče aj k SSL certifikátom používaným OpenVPN, populárnou implementáciou riešenia virtuálnej privátnej siete.

Zraniteľnosť Heartbleed, ktorú sme detailne popisovali v tomto článku, umožňuje kradnúť údaje z pamäte zraniteľného procesu používajúceho knižnicu OpenSSL, napríklad webového servera poskytujúceho zabezpečené webové stránky.

OpenVPN používa OpenSSL na autentifikáciu a výmenu kľúčov, predpoklad potenciálneho ukradnutia kľúčov z OpenVPN podobne ako u webových serverov poskytujúcich HTTPS stránky existoval už od zverejnenia informácií o zraniteľnosti na začiatku minulého týždňa.

Kým u webových serverov, konkrétne u nginx na Ubuntu, bolo prvýkrát demonštrované praktické získanie privátneho kľúča k certifikátu minulý piatok, u OpenVPN sa to podarilo v stredu Fredrikovi Strömbergovi.

Strömberg získal privátny kľúč z OpenVPN servera na Ubuntu 12.04 s OpenVPN 2.2.1 a OpenSSL 1.0.1-4ubuntu5.11, na jeho získanie musel zo servera preniesť viac ako 1 a menej ako 10 GB dát, presnú hodnotu neuviedol. Jednou Heartbeat správou može útočník získať maximálne cca 64 KB dát z pamäte zariadenia, na ktoré útočí.

Či sa zraniteľnosť Heartbleed úspešne používala aj na útoky proti OpenVPN nie je zatiaľ známe, používateľom OpenVPN je ale po aktuálnom zistení odporúčané minimálne z preventívnych dôvodov vymeniť kľúče. Získané kľúče z OpenVPN servera umožňujú útočníkovi vydávať sa za tento server a prípadne realizovať následne útok pomocou Heartbleed voči klientom.


Najnovšie články:



Diskusia:

HEARTBLEED Od: sparta999 | Pridané: 17.4.2014 11:40 najnovsie: pomocou zranitelnosti heartbleed bol dnes odcudzeny rohlik v obchodnom retazci TESCO... Odpovedať Známka: 6.5 Hodnotiť:

@: Krvácajúce_srdce Od: .............,........... | Pridané: 17.4.2014 13:36 ...bol dnes odcudzený ROŽOK... Odpovedať Známka: 6.8 Hodnotiť:

Re: @: Krvácajúce_srdce Od: bernard | Pridané: 17.4.2014 14:03 on mal na mysli ceske TESCO Odpovedať Známka: 6.8 Hodnotiť:

Re: @: Krvácajúce_srdce Od: .............,........... | Pridané: 18.4.2014 10:14 Aha, értem. Odpovedať Známka: 10.0 Hodnotiť:

bleed alebo beat Od reg.: diosko | Pridané: 17.4.2014 11:49 V nadpise je "Pomocou Heartbleed je možné..." a v texte je "Jednou Heartbeat správou može...". Myslim, ze by to malo byt iba "heartbleed". Odpovedať Známka: -10.0 Hodnotiť:

Re: bleed alebo beat Od: Yesman | Pridané: 17.4.2014 12:10 srdce bije. (v tomto pripade kazdy uder znamena nejaku odozvu na to, ci je system zivy) preto heartbeat. srdce pumpuje krv. (v tomto pripade zneuzivanie odozvy na ziskanie dat - teda kradnutie niecoho, co ti nepatri) preto heartbleed. Odpovedať Známka: 10.0 Hodnotiť:

???????????????? Od: ???????????????? | Pridané: 17.4.2014 12:35 Do firewallu: # Log rulez iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" # Block rules iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j DROP Odpovedať Známka: 5.6 Hodnotiť:

Re: ???????????????? Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 17.4.2014 13:26 Nie je to take jednoduche. Toto ti pomoze iba proti jednoduchym exploitom, ktore maju tuto signaturu na zaciatku paketu. Pred par dnami sa jednemu tipkovi podarilo spravit exploit odolny voci tomuto filtrovaniu, ked zabezpecil aby kazdy paket zacinal inymi datami. Odpovedať Známka: 10.0 Hodnotiť:

Re: ???????????????? Od: Koumak | Pridané: 17.4.2014 14:16 Tak prida na obdobnu klasifikaciu este frontu s rychlostou 1 byte/sec a "hacker" to radsej vzda, aby nemusel nekonecne cakat... ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: ???????????????? Od: Koumak | Pridané: 17.4.2014 14:29 A mozno to este trosku vylepsit napriklad: iptables -A INPUT ! -i lo -p tcp -m multiport --destination-port 443,943,993,995,1194 -m u32 --u32 "52=0x18030000:0x1803FFFF" -m limit --limit 5/h -j LOG --log-level debug --log-prefix "Firewall: Heartbleed" iptables -A INPUT ! -i lo -p tcp -m multiport --destination-port 443,943,993,995,1194 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP iptables -A INPUT ! -i lo -p udp --dport 1194 -m u32 --u32 "52=0x18030000:0x1803FFFF" -m limit --limit 5/h -j LOG --log-level debug --log-prefix "Firewall: Heartbleed" iptables -A INPUT ! -i lo -p udp --dport 1194 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP Odpovedať Známka: 10.0 Hodnotiť:

..... Od reg.: anonymouser007 | Pridané: 17.4.2014 13:25 srdce mi krváca Odpovedať Známka: 8.2 Hodnotiť:

Re: ..... Od: sparta999 | Pridané: 17.4.2014 14:15 hej ? seres kravave hovna ? nejedz vela cvikly Odpovedať Známka: -6.7 Hodnotiť:

Re: ..... Od: dagi1984 | Pridané: 17.4.2014 15:28 tak z tohoto hlaska nebude :( Odpovedať Známka: 6.7 Hodnotiť:

Re: ..... Od: santa santa | Pridané: 17.4.2014 18:41 Co cakas ked vychodil len zakladnu skolu. Odpovedať Známka: 7.1 Hodnotiť:

Re: ..... Od: lal | Pridané: 17.4.2014 19:32 ale v stropkove, to je ako stredna v petrzalke :) Odpovedať Známka: 6.0 Hodnotiť:

Re: ..... Od: MAJAK - neregistrovany | Pridané: 18.4.2014 9:47 stropkov? to kde je? Odpovedať Známka: 5.0 Hodnotiť:

Pridať komentár