Mig any després del HeartBleed

Ja fa pràcticament mig any que es va publicar el bug del HeartBleed.  Un error que, tractanse de OpenSSL, afectava a una gran quantitat de serveis i al qual fins hi tot s’hi ha dedicat una entrada a la Vikipèdia.  Segurament ha estat un dels bugs més mediàtics de l’any passat, i ens recordava a tots que fins i tot les peces de software tan bàsiques, on reposem les nostres confiances de seguretat, com és la capa d’encriptació SSL tampoc son invulnerables.  Potser per això s’hi va fer tant escàndol.

El curiós del cas és que encara a dia d’avui, i tot el revol que va generar, et pots trobar forces serveis amb versions vulnerables a l’atac.

Per verificar-ho amb NMap simplement podem utilitzar el seu script que a l’última versió ve integrat.

nmap –script ssl-heartbleed <host>

Resultat de analitzar HeartBleed amb NMap.  El host és vulnerable!

Resultat de analitzar HeartBleed amb NMap. El host és vulnerable!

Si algun dels nostres serveis és vulnerable NMap ens ho indicarà.

Arribats a aquest punt l’explotació també és tribial amb Metasploit.  Tan sols fem:

use auxiliary/scanner/ssl/openssl_heartbleed

set VERBOSE true

set RHOSTS <host>

run

Executem l'atac amb Metasploit

Executem l’atac amb Metasploit

I ens mostrarà el resultat de l’atac.

Part de la informació exposada arrel de l'atac amb HeartBleed.

Part de la informació exposada arrel de l’atac amb HeartBleed.

Però realment és tan greu? Doncs estrictament parlant, el HeartBleed retorna un pedaç de la memòria RAM del servidor. La major part dels cops aquest resultat tan sols conté parts dels processos actius, com per exemple, parts de les webs que s’estan mostrant, part del contingut del document que s’està servint, etc.  Aquests no revelen a priori dades de gran importància i algú podria pensar que és “passable”, però ja ens poden oferir informació suculent en forma de rutes del sistema de fitxers del servidor, software instal·lat, informació continguda en parts de la web on no hi tenim accés, etc.  Si l’atacant està te sort la informació retornada pot contenir passwords en format hash, credencials, noms d’usuaris, etc i aleshores si que tenim un problema greu.

Per tant, aquest atac té un impacte aleatori depenent de la informació que quedi exposada.  Tanmateix sempre retorna informació que pot ser utilitzada en un hacking i, junt amb la possibilitat de exposar informació realment crítica, aquest atac ha merescut l’atenció que s’hi va fer en el seu moment en els medis de comunicació.

…llàstima que encara hi hagin administradors que no s’hagin adonat del perill…

Advertisements

~ per madyyelf a 15 gener 2015.