image

Heartbleed-bug gebruikt voor aanval op VPN

vrijdag 18 april 2014, 17:09 door Redactie, 3 reacties

Bij een gerichte aanval op een organisatie hebben aanvallers de Heartbleed-bug in OpenSSL gebruikt om toegang tot het VPN van de organisatie te krijgen. En het gaat niet om een uitzondering, want volgens het Amerikaanse beveiligingsbedrijf Mandiant zou het lek bij meer gerichte aanvallen zijn ingezet.

De kwetsbaarheid in OpenSSL, waardoor een aanvaller informatie uit het geheugen van een webserver kan stelen, werd op 8 april door een aanvaller tegen een VPN-oplossing van een niet nader genoemde organisatie ingezet. Via een VPN kunnen werknemers op afstand toegang tot hun interne bedrijfsomgeving krijgen.

In dit geval stuurde de aanvaller zijn kwaadaardige requests naar de HTTPS-webserver die op de VPN-oplossing draaide. Deze webserver gebruikte een kwetsbare versie van OpenSSL en kon zodoende via de Heartbleed-bug worden aangevallen.

Tokens

Volgens Mandiant was de aanvaller in het geheugen op zoek naar actieve sessietokens van al geauthenticeerde gebruikers. Met deze tokens kon de aanvaller vervolgens verschillende gebruikerssessies overnemen en de VPN-oplossing laten geloven dat hij een legitieme gebruiker was. Zodoende wist de aanvaller zowel de multifactor-authenticatie als de VPN-controle van de organisatie te omzeilen.

Nadat de aanvaller toegang tot de organisatie had gekregen probeerde hij zijn rechten te verhogen en toegang tot andere systemen te krijgen. Beheerders en organisaties krijgen dan ook het advies om hun VPN-logs te controleren op gevallen waarbij het IP-adres van een sessie opeens tussen twee IP-adressen heen en weer wisselde. Het gaat dan met name om IP-adressen die zich in verschillende geografische locaties of netwerkblokken bevinden.

Reacties (3)
19-04-2014, 04:02 door Eric-Jan H te D - Bijgewerkt: 19-04-2014, 04:03
www.security.nl heeft zijn certificaat op 8 april vervangen. Hebben jullie ons nog iets te melden?

https://lastpass.com/heartbleed/?h=www.security.nl
19-04-2014, 08:06 door Anoniem
proficiat
22-04-2014, 00:57 door Anoniem
Setec astronomy
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.