'Aanvaller gebruikte Heartbleed-bug voor aanval op vpn'

Een aanvaller zou dankzij de Heartbleed-bug in OpenSSL succesvol toegang hebben gekregen tot het vpn van een niet nader genoemde organisatie, meldt Mandiant vrijdag. Het Amerikaanse beveiligingsbedrijf onderzoekt namens de organisatie de aanval.

De aanvaller gebruikte het OpenSSL-lek om in te breken op een vpn van een niet nader genoemde organisatie. Hij stuurde daarbij requests naar de https-webserver die op de kwetsbare versie van de ssl-encryptiesoftware draaide.

Volgens Mandiant, dat andere bedrijven helpt om malware te verwijderen en cyberaanvallers de deur uit te werken, zocht de aanvaller in het geheugen naar actieve sessietokens van geauthentiseerde gebruikers. Met die tokens zou hij diverse sessies hebben overgenomen en wist hij naar verluidt de tweestapsverificatie en de vpn-controle te omzeilen. Vervolgens probeerde hij zijn rechten te verhogen en toegang tot andere systemen te krijgen.

De hack kwam aan het licht dankzij vpn-logs en een IDS, dat was uitgerust om activiteiten gerelateerd aan de Heartbleed-bug waar te nemen. Dat systeem registreerde 17.000 inbraakpogingen die elkaar in snel tempo opvolgden, meldt Mandiant.

Heartbleed is een kwetsbaarheid in OpenSSL die vorige week aan het licht kwam. De bug maakt het mogelijk om van buitenaf het interne geheugen van een webserver uit te lezen en daardoor private keys en ontsleutelde data te zien. Vele websites maken gebruik van OpenSSL om private keys te genereren en hebben maatregelen genomen.

Aanval op vpn dankzij Heartbleed

Reacties (25)

Ongepast 19 april 2014 00:23

Wel stoer dat je als organisatie een IDS heartbleed laat detecteren maar zelf niet het lek dicht.

sugarcube @Ongepast • 19 april 2014 01:35

Wel stoer dat je als organisatie een IDS heartbleed laat detecteren maar zelf niet het lek dicht.

Toch niet, het opmerkelijke is de timing:

Beginning on April 8, an attacker leveraged the Heartbleed vulnerability against a VPN appliance

Op dat ogenblik was - voor de rest van de wereld - nog niet bekend dat VPN potentieel ook vulnerable was. Dat heeft nog een hele tijd geduurd.

Zeer snel na beschikbaar zijn van de detectie op de IDS werd de aanval al gedetecteerd. Het is mijns inziens zeer frappant dat hackers al zo snel en zo breed exploits beschikbaar hadden. Zelfs als nog niet bekend was dat ook openvpn vulnerable was. Dat kan er misschien op wijzen dat de exploits misschien al bekend waren en gebruikt werden vooraleer het probleem publiek bekend werd.

Verwijderd @sugarcube • 22 april 2014 13:11

Hoe bedoel je dat "de rest van de wereld" op 8 april nog niet wist dat VPN kwetsbaar was? Dat was op 8 april eigenlijk een van de eerste zaken waar ik naar keek: SSL VPN. En ja, die was kwetsbaar. En ja, die is direct gepatcht en het certificaat heb ik opnieuw laten uitgeven. De rest van de services hangt, een enkele uitzondering daargelaten, achter een reverse proxy. Die was overigens niet kwetsbaar.

Soldaatje @Ongepast • 19 april 2014 00:40

Dat is wel opmerkelijk inderdaad, het zou kunnen dat de VPN server in kwestie nog geen update beschikbaar had.

[Reactie gewijzigd door Soldaatje op 24 juli 2024 20:25]

shadylog 18 april 2014 22:04

Dit gaan we nog veel zien de komende jaren. Vooral consumenten en bedrijven die hardware en routers die niet of moeilijk te upgraden zijn in hun bezit hebben zullen het lastig krijgen..

Was het de moeite waard vraag ik me af? De aanvaller heeft erg veel moeite er in gestopt.
Ben benieuwd wat voor organisatie dit was.

[Reactie gewijzigd door shadylog op 24 juli 2024 20:25]

Crazy Harry @shadylog • 18 april 2014 22:49

In ieder geval een organisatie die snel genoeg gehandeld heeft om vrij kort na het bekend worden, een aanpassing geïmplementeerd heeft in de IDS om aanvallen gebaseerd op de heartbleed-bug te detecteren. Dan zal het ook de verwachting hebben gehad om doelwit te worden en lijkt me dan niet een low profile organisatie.

Blokker_1999

Internet
Netwerk en systeembeheer

@Crazy Harry • 19 april 2014 07:44

In plaats van op te sporen had men moeten voorkomen dat de bug misbruikt kon worden. Voorkomen is beter dan genezen.

defixje @Blokker_1999 • 19 april 2014 07:55

Ja hoor, wat naïef van jou zeg. Als je niet weet dat het er is, dan weet je ook niet hoe je het moet voorkomen hè slimpie.

Denk dat jij je PC beter uit huis kan gooien want ooit wordt je gehackt door een nu nog onbekende lek. Dusja, voorkomen is beter dan genezen, gooi hem nu het raam uit.

Eagle Creek

@defixje • 19 april 2014 08:55

Als je niet weet dat het er is, dan weet je ook niet hoe je het moet voorkomen hè slimpie.

Dat is niet helemaal waar.

Natuurlijk is detectie van bekende patronen een zeer belangrijk opsporingsmiddel maar bedrijven hebben tal van middelen ter beschikking om afwijkend gedrag te detecteren.

In het bericht wordt gesproken over de IDS die geconfigureerd was om specifiek activiteiten gerelateerd aan de Heartbleed-bug waar te nemen.

Mandiant, leverancier van onder andere zulke detectieproducten, levert het bedrijf dan specifieke signatures voor deze aanval.

The IDS signature “SERVER-OTHER TLSv1.1 large heartbeat response – possible ssl heartbleed attempt”, depicted in figure 1, alerted over 17,000 times during the intrusion.

Zie ook de afbeelding hierboven.

Maar zo kun je ook dergelijke signatures generaliseren om tal van afwijkingen te detecteren. Generieker maken waardoor zelfs onbekende dreigingen sneller in het oog springen.

quote: site van Mandian
The VPN logs showed active VPN connections of multiple users rapidly changing back and forth, “flip flopping”, between the malicious IP address and the user’s original IP address. In several cases the “flip flopping” activity lasted for multiple hours

Dit alleen al, nog zonder heartbleed-signature, is al reden genoeg om een onderzoek te starten.

Compleet nieuwe en onbekende bugs die niet eerder ontdekte patronen veroorzaken zijn natuurlijk lastiger op te sporen. Een afwijking is natuurlijk een aanwijzing en niet altijd direct een smoking gun.

De tijd dat je een 1-op-1-"handtekening" nodig had zoals met de virusscanners van 15 jaar geleden ligt echter achter ons.

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 20:25]

Verwijderd @defixje • 19 april 2014 12:08

@defixje:
Deze bug is inmiddels al twee weken bekend en er is een fix voor, ook in de media is veel ruchtbaarheid gegeven aan deze bug. Beetje naief van een bedrijf om dan niet tijdig te patchen.

DW-ike @Verwijderd • 19 april 2014 12:53

er is inderdaad een fix voor... maar niet voor ieder systeem/ appliance.
Cisco, Juniper, D-link en Solaris zijn voorbeelden waar je niet één, twee, drie een fix van krijgt die gelijk ook door je interne test voor je productieomgeving heen komen

Adm.Spock @DW-ike • 20 april 2014 14:43

In die gevallen moet je de dienst dus uitschakelen tot de fix geïnstalleerd is.

defixje @Verwijderd • 21 april 2014 13:03

Er staat toch in de bron dat dit gaat om informatie van 8 April, toen was het helemaal nog niet bekend in de media. Dus dat gaat niet op...

Verwijderd 19 april 2014 00:38

Dit is niet echt heel bijzonder gezien er meerdere VPN vendors zijn die vatbaar zijn/waren voor de Heartbleed bug. Zoals iemand al eerder op merkt, dit gaan we vaker zien de komende tijd. Het lazy administrator syndrome gaat hier pijn doen.

MrMonkE @Verwijderd • 19 april 2014 01:22

Nee hoor.
De echte lazy administrator werkte nog met een versie zonder bug.

madcow22 @MrMonkE • 19 april 2014 01:57

Hoef je geneens lazy voor te zijn wij gebruikte LTS versie die 0.9.8 had of zoiets.

MrMonkE @madcow22 • 19 april 2014 03:00

Die 0.9.8 is trouwens uit 2005 en de 1.0 uit 2010.
Dat zijn de twee LTS en hebben niet deze bug. $_/-\o_$

Geen bleeding edge, geen heartblead!

paradoXical @MrMonkE • 21 april 2014 08:24

Inderdaad, ik draai op mijn VPS ook 0.9.8, en blij ook

Verwijderd 19 april 2014 01:16

Dealextreme geeft een melding je wachtwoord te wijzigen.

Dlocks @Verwijderd • 19 april 2014 10:35

Hoe komt het eigenlijk dat Google en Facebook gebruikers niet vragen om wachtwoord te wijzigen? Ik had begrepen dat zij ook vatbaar waren voor de Heartbleed-bug?

rhuijben @Dlocks • 19 april 2014 19:21

Zij waren gepatched voordat de bug algemeen bekend werd. Of ze daar mee veilig zijn valt slecht te zeggen.

fantafriday @rhuijben • 19 april 2014 23:28

En natuurlijk zijn de mensen er niet over te spreken als ze telkens een meldung krijgen dat ze hun wachtwoord moeten veranderen (de gemiddelde facebooker)

HoppyF 20 april 2014 11:23

Hopelijk wordt deze aanvaller snel opgespoord en veroordeeld tot een zware straf.
Als je bewust erop uit bent grote schade te veroorzaken mag wet mij betreft de straf niet hoog genoeg zijn. Dit soort hackers valt onder het laagste soort wat bestaat.
Nu is Heartbleed één voorbeeld maar zo bestaan er meer er zullen er de komende jaren ook nog veel voorkomen. Software bugs en menselijke fouten zijn helaas niet te vermijden.

rboerdijk @HoppyF • 20 april 2014 18:17

Zelfs als je de aanvaller zou opsporen zou de Amerikaanse president gewoon gratie verlenen aan de NSA. Daar kom je geen stap verder mee.

satoer 18 april 2014 22:40

Heartbleed is een kwetsbaarheid in OpenSSL die vorige week aan het licht kwam. De bug maakt het mogelijk om van buitenaf het interne geheugen van een webserver uit te lezen en daardoor private keys en ontsleutelde data te zien.

Ik vond dit wel weer een mooie uitleg:
http://xkcd.com/1354/

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: