Zielgerichtete Attacke benutzt Heartbleed zum Abfangen von VPN-Sessions

Eine zielgerichtete Attacke gegen eine nicht genannte Organisation nutzt die Heartbleed OpenSSL Schwachstelle aus, um Websessions abzufangen, die über VPN-Kanäle laufen.

Die amerikanische IT-Sicherheitsfirma Mandiant hat einige Details ihrer jüngsten Ermittlungen zu einem Angriff veröffentlicht, der am 8. April begann – einen Tag, nachdem die Heartbleed-Schwachstelle öffentlich gemacht wurde. Laut Mandiant nutzten die Angreifer die Sicherheitslücke in OpenSSL im SSL VPN-Concentrator des Clients aus, um entfernt auf aktive Sitzungen zuzugreifen.

Das ist lediglich die jüngste in einer zunehmenden Serie von Attacken, die Heartbleed einsetzen – ein Problem in der Heartbeat-Funktionalität von OpenSSL. Ist diese Sicherheitslücke aktiviert, ermöglicht sie jedem Client oder Server, der eine Verbindung anfragt, das Auslesen von 64KB Speicher in reinem Text. Berichten zufolge haben Angreifer Heartbleed bereits benutzt, um Benutzernamen, Session-IDs, Bankinformationen und andere Daten in Plaintext zu stehlen. Ende letzter Woche erreichten uns die ersten Berichte von Forschern, die ausreichend Informationen zusammengetragen haben, um einen privaten SSL-Schlüssel zu reproduzieren.

Anfang der Woche gelang es Wissenschaftlern in Schweden mit Hilfe von Heartbleed, private Schlüssel für OpenVPN zu extrahieren – einem quelloffenen VPN-Softwarepaket.

Mandiant berichtet nun über die erste öffentlich bekannte Attacke in der realen Welt auf eine Organisation, die entfernten Zugriff via Heartbleed ermöglicht.

Mandiant erklärte, dass die Angreifer in der Lage waren, aktive Tokens von Anwendersessions zu stehlen, um die Multifaktoren-Authentifizierung der Organisation und die VPN-Client-Software zu umgehen, die benutzt wird, um die Authentizität der Systeme zu überprüfen, die sich mit den Netzwerkressourcen verbinden.

“Die Angreifer verschickten wiederholt inkorrekte Heartbeat-Anfragen an die HTTPS-Webserver, die auf dem VPN-Gerät laufen, das mit einer angreifbaren OpenSSL-Version kompiliert war, um aktive Session-IDs für aktuell authentifizierte Nutzer zu erhalten”, schreiben die Mandiant-Ermittler Christopher Glyer und Chris DiGiamo. “Mit einer aktiven Session-ID haben die Angreifer mehrfach aktive Anwender-Sitzungen abgefangen und den VPN-Concentrator überzeugen können, dass sie legitim authentifiziert wurden.”

Da mit Hilfe von Heartbleed nur 64KB Speicher pro Heartbeat-Anfrage ausgelesen werden können, müssen die Gangster den Angriff immer wieder aufs Neue wiederholen, um jegliche sich lohnenden Daten stehlen zu können. In diesem Fall hat laut Mandiant eine speziell für Heartbleed geschriebene IDS-Signatur mehr als 17.000 Alarme während der Attacke ausgelöst.

Während Heartbeat-Anfragen keine Spuren hinterlassen, bestätigt Mandiant, nicht nur aufgrund der IDS-Alarme Beweise für die Angriffe gefunden zu haben, sondern auch in den VPN-Protokollen des Unternehmens. Es heißt insbesondere, dass eine schädliche IP-Adresse die IDS-Alarme ausgelöst habe, sobald die Angreifer versuchten, sich mit der SSL VPN des Unternehmens zu verbinden. Der Hauptbeweis wurde in den VPN-Logs gefunden, die belegten, dass die aktiven VPN-Verbindungen sehr schnell – manchmal im Sekundentakt – zwischen der IP-Adresse der Angreifer und der legitimen IP-Adresse des Users wechselten. Laut Mandiant waren die IP-Adressen auch geografisch entfernt, und sie gehörten zu unterschiedlichen Internet-Providern. Mandiant erklärte, dass sie die IDS-Alarme mit den Verbindungsänderungen in den VPN-Protokollen in Verbindung bringen konnten.

“Einmal mit dem VPN verbunden, versuchten die Angreifer weiter vorzudringen und ihre Rechte mit Hilfe des Heartbleed-Bugs zu erweitern“, schreiben Glyer und DiGiamo.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.