Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: 12345dan

Een aanvaller zou dankzij de Heartbleed-bug in OpenSSL succesvol toegang hebben gekregen tot het vpn van een niet nader genoemde organisatie, meldt Mandiant vrijdag. Het Amerikaanse beveiligingsbedrijf onderzoekt namens de organisatie de aanval.

De aanvaller gebruikte het OpenSSL-lek om in te breken op een vpn van een niet nader genoemde organisatie. Hij stuurde daarbij requests naar de https-webserver die op de kwetsbare versie van de ssl-encryptiesoftware draaide.

Volgens Mandiant, dat andere bedrijven helpt om malware te verwijderen en cyberaanvallers de deur uit te werken, zocht de aanvaller in het geheugen naar actieve sessietokens van geauthentiseerde gebruikers. Met die tokens zou hij diverse sessies hebben overgenomen en wist hij naar verluidt de tweestapsverificatie en de vpn-controle te omzeilen. Vervolgens probeerde hij zijn rechten te verhogen en toegang tot andere systemen te krijgen.

De hack kwam aan het licht dankzij vpn-logs en een IDS, dat was uitgerust om activiteiten gerelateerd aan de Heartbleed-bug waar te nemen. Dat systeem registreerde 17.000 inbraakpogingen die elkaar in snel tempo opvolgden, meldt Mandiant.

Heartbleed is een kwetsbaarheid in OpenSSL die vorige week aan het licht kwam. De bug maakt het mogelijk om van buitenaf het interne geheugen van een webserver uit te lezen en daardoor private keys en ontsleutelde data te zien. Vele websites maken gebruik van OpenSSL om private keys te genereren en hebben maatregelen genomen.

Aanval op vpn dankzij Heartbleed

Moderatie-faq Wijzig weergave

Reacties (25)

Wel stoer dat je als organisatie een IDS heartbleed laat detecteren maar zelf niet het lek dicht.
Wel stoer dat je als organisatie een IDS heartbleed laat detecteren maar zelf niet het lek dicht.
Toch niet, het opmerkelijke is de timing:
Beginning on April 8, an attacker leveraged the Heartbleed vulnerability against a VPN appliance
Op dat ogenblik was - voor de rest van de wereld - nog niet bekend dat VPN potentieel ook vulnerable was. Dat heeft nog een hele tijd geduurd.

Zeer snel na beschikbaar zijn van de detectie op de IDS werd de aanval al gedetecteerd. Het is mijns inziens zeer frappant dat hackers al zo snel en zo breed exploits beschikbaar hadden. Zelfs als nog niet bekend was dat ook openvpn vulnerable was. Dat kan er misschien op wijzen dat de exploits misschien al bekend waren en gebruikt werden vooraleer het probleem publiek bekend werd.
Hoe bedoel je dat "de rest van de wereld" op 8 april nog niet wist dat VPN kwetsbaar was? Dat was op 8 april eigenlijk een van de eerste zaken waar ik naar keek: SSL VPN. En ja, die was kwetsbaar. En ja, die is direct gepatcht en het certificaat heb ik opnieuw laten uitgeven. De rest van de services hangt, een enkele uitzondering daargelaten, achter een reverse proxy. Die was overigens niet kwetsbaar.
Dat is wel opmerkelijk inderdaad, het zou kunnen dat de VPN server in kwestie nog geen update beschikbaar had.

[Reactie gewijzigd door Soldaatje op 19 april 2014 00:40]

Dit gaan we nog veel zien de komende jaren. Vooral consumenten en bedrijven die hardware en routers die niet of moeilijk te upgraden zijn in hun bezit hebben zullen het lastig krijgen..

Was het de moeite waard vraag ik me af? De aanvaller heeft erg veel moeite er in gestopt.
Ben benieuwd wat voor organisatie dit was.

[Reactie gewijzigd door shadylog op 18 april 2014 22:07]

In ieder geval een organisatie die snel genoeg gehandeld heeft om vrij kort na het bekend worden, een aanpassing geïmplementeerd heeft in de IDS om aanvallen gebaseerd op de heartbleed-bug te detecteren. Dan zal het ook de verwachting hebben gehad om doelwit te worden en lijkt me dan niet een low profile organisatie.
In plaats van op te sporen had men moeten voorkomen dat de bug misbruikt kon worden. Voorkomen is beter dan genezen.
Ja hoor, wat naïef van jou zeg. Als je niet weet dat het er is, dan weet je ook niet hoe je het moet voorkomen hè slimpie.

Denk dat jij je PC beter uit huis kan gooien want ooit wordt je gehackt door een nu nog onbekende lek. Dusja, voorkomen is beter dan genezen, gooi hem nu het raam uit.
Als je niet weet dat het er is, dan weet je ook niet hoe je het moet voorkomen hè slimpie.
Dat is niet helemaal waar.

Natuurlijk is detectie van bekende patronen een zeer belangrijk opsporingsmiddel maar bedrijven hebben tal van middelen ter beschikking om afwijkend gedrag te detecteren.

In het bericht wordt gesproken over de IDS die geconfigureerd was om specifiek activiteiten gerelateerd aan de Heartbleed-bug waar te nemen.

Mandiant, leverancier van onder andere zulke detectieproducten, levert het bedrijf dan specifieke signatures voor deze aanval.
The IDS signature “SERVER-OTHER TLSv1.1 large heartbeat response – possible ssl heartbleed attempt”, depicted in figure 1, alerted over 17,000 times during the intrusion.
Zie ook de afbeelding hierboven.

Maar zo kun je ook dergelijke signatures generaliseren om tal van afwijkingen te detecteren. Generieker maken waardoor zelfs onbekende dreigingen sneller in het oog springen.
quote: site van Mandian
The VPN logs showed active VPN connections of multiple users rapidly changing back and forth, “flip flopping”, between the malicious IP address and the user’s original IP address. In several cases the “flip flopping” activity lasted for multiple hours
Dit alleen al, nog zonder heartbleed-signature, is al reden genoeg om een onderzoek te starten.

Compleet nieuwe en onbekende bugs die niet eerder ontdekte patronen veroorzaken zijn natuurlijk lastiger op te sporen. Een afwijking is natuurlijk een aanwijzing en niet altijd direct een smoking gun.

De tijd dat je een 1-op-1-"handtekening" nodig had zoals met de virusscanners van 15 jaar geleden ligt echter achter ons.

[Reactie gewijzigd door Eagle Creek op 19 april 2014 09:05]

@defixje:
Deze bug is inmiddels al twee weken bekend en er is een fix voor, ook in de media is veel ruchtbaarheid gegeven aan deze bug. Beetje naief van een bedrijf om dan niet tijdig te patchen.
er is inderdaad een fix voor... maar niet voor ieder systeem/ appliance.
Cisco, Juniper, D-link en Solaris zijn voorbeelden waar je niet één, twee, drie een fix van krijgt die gelijk ook door je interne test voor je productieomgeving heen komen
In die gevallen moet je de dienst dus uitschakelen tot de fix geïnstalleerd is.
Er staat toch in de bron dat dit gaat om informatie van 8 April, toen was het helemaal nog niet bekend in de media. Dus dat gaat niet op...
Dit is niet echt heel bijzonder gezien er meerdere VPN vendors zijn die vatbaar zijn/waren voor de Heartbleed bug. Zoals iemand al eerder op merkt, dit gaan we vaker zien de komende tijd. Het lazy administrator syndrome gaat hier pijn doen.
Nee hoor.
De echte lazy administrator werkte nog met een versie zonder bug.
Hoef je geneens lazy voor te zijn wij gebruikte LTS versie die 0.9.8 had of zoiets.
Die 0.9.8 is trouwens uit 2005 en de 1.0 uit 2010.
Dat zijn de twee LTS en hebben niet deze bug. _/-\o_

Geen bleeding edge, geen heartblead! O-)
Inderdaad, ik draai op mijn VPS ook 0.9.8, en blij ook ;)
Dealextreme geeft een melding je wachtwoord te wijzigen.
Hoe komt het eigenlijk dat Google en Facebook gebruikers niet vragen om wachtwoord te wijzigen? Ik had begrepen dat zij ook vatbaar waren voor de Heartbleed-bug?
Zij waren gepatched voordat de bug algemeen bekend werd. Of ze daar mee veilig zijn valt slecht te zeggen.
En natuurlijk zijn de mensen er niet over te spreken als ze telkens een meldung krijgen dat ze hun wachtwoord moeten veranderen (de gemiddelde facebooker)
Hopelijk wordt deze aanvaller snel opgespoord en veroordeeld tot een zware straf.
Als je bewust erop uit bent grote schade te veroorzaken mag wet mij betreft de straf niet hoog genoeg zijn. Dit soort hackers valt onder het laagste soort wat bestaat.
Nu is Heartbleed één voorbeeld maar zo bestaan er meer er zullen er de komende jaren ook nog veel voorkomen. Software bugs en menselijke fouten zijn helaas niet te vermijden.
Zelfs als je de aanvaller zou opsporen zou de Amerikaanse president gewoon gratie verlenen aan de NSA. Daar kom je geen stap verder mee.
Heartbleed is een kwetsbaarheid in OpenSSL die vorige week aan het licht kwam. De bug maakt het mogelijk om van buitenaf het interne geheugen van een webserver uit te lezen en daardoor private keys en ontsleutelde data te zien.
Ik vond dit wel weer een mooie uitleg:
http://xkcd.com/1354/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True