Los cibercriminales han explorado una nueva forma de explotar la vulnerabilidad HeartBleed , que afecta al servicio OpenSSL. Han conseguido secuestrar sesiones web activas que atraviesan VPN o Virtual Private Connection, en varias empresas.

La empresa especializada en el sector de Consultoría y respuesta ante incidentes, Mandiant, ha estado investigando este ataque dirigido contra una importante organización, de la cual no podemos dar datos. Afirman que los hackers han aprovechado la vulnerabilidad HeartBleed en OpenSSL que se estaba ejecutando en el concentrador del cliente SSL de la VPN, para de esta forma acceder a sesiones de navegación activas en la red interna de la compañía.

Recordemos que, el incidente comentado, se basa en aprovechar un fallo de seguridad grave encontrado en la función "heartbeat" de la Librería OpenSSL, en sistemas Linux y similares. Un atacante, si el sistema heartbeat está activo y es vulnerable (no todos lo son) podría conseguir hasta 64 Kb de credenciales en texto plano en cualquier cliente o servidor que negocie una conexión. Dicha vulnerabilidad ha afectado a unos dos tercios de los servidores web mundiales, incluyendo algunos tan populares como Yahoo .

Recientemente, se ha detenido a un adolescente canadiense por robar nombres de usuario, credenciales, IDs de sesión y otros datos en texto plano desde la Agencia de Finanzas de Canadá, explotando este mismo fallo. Esto hace pensar que una gran cantidad de ciberdelincuentes podría esta ahora mismo buscando monetizar este fallo, lo que exige tomar medidas.

El hacker consiguió robar los tokens de la sesión de navegación activa del usuario, para así poder atravesar la autenticación multi-factor y el software VPN utilizado para realizar el Login.

"De forma específica, el atacate envió repetidamente solicitudes "heartbeat" mal formuladas hacia el servidor web HTTPS conectado a la red VPN, que estaba compilado con una versión vulnerable de HeartBeat (versiones 1.01, 1.02 beta y derivadas de estas) para OpenSSL. Así obtuvieron los tokens de sesión activa correspondientes a usuarios autenticados"

OpenVPN ya había lanzado avisos a sus usuarios, comentando que podrían ser vulnerables al ataque, pues emplean el software open source mencionado por defecto: OpenSSL.

Según la firma de seguridad, está claro que el ataque HeartBleed no es rastreable, además el bug devuelve sólo 64 bits de memoria por cada requerimiento realizado a HeartBeat, pero para poder recopilar datos de interés un atacante deberá enviar una cadena continua de solicitudes. En esta situación, una Firma para los IDS, específicamente creada para la situación, arrojó la friolera de 17000 alertas durante la intrusión.

Detalles

Los investigadores publicaron las pruebas que aseguraban que el atacante al que habían rastreado era responsable del "robo de tokens de sesión de usuario legítimo":

• Una dirección IP comprometida desencadenó miles de alertas en los IDS (Defensas de perímetro) relacionadas con la negociación Heartbeat, destinadas al servicio SSL de la VPN corporativa.
• Los LOGs de la VPN mostraron conexiones activas de múltiples usuarios, constantemente cambiantes (flip-flopping) entre las IPs maliciosas y la IP original del usuario. En ciertos casos, la ondulante actividad duró varias horas.
• Las marcas de tiempo asociadas a los cambios en dirección IP, distaban habitualmente 1 o 2 segundos una de la otra.
• Las direcciones IP legítimas que accedían a la VPN estaban geográficamente distantes de la IP maliciosa, perteneciendo a diferentes proveedores.
• Las timestamps de las anomalías existentes en el Log de la VPN, pudieron ser contrastadas con las alertas ofrecidas por el IDS, asociadas al bug HeartBleed.

"Una vez conectado a la VPN, el atacante intentaba moverse "lateralmente" para escalar sus privilegios en la organización", añade otro de los investigadores.

No olvidéis comprobar el estado del software en vuestra organización, podéis tomar como referencia esta breve guía al respecto.