¿Quieres recibir una notificación por email cada vez que Mejor Antivirus escriba una noticia?
Los cibercriminales han explorado una nueva forma de explotar la vulnerabilidad HeartBleed , que afecta al servicio OpenSSL. Han conseguido secuestrar sesiones web activas que atraviesan VPN o Virtual Private Connection, en varias empresas.
La empresa especializada en el sector de Consultoría y respuesta ante incidentes, Mandiant, ha estado investigando este ataque dirigido contra una importante organización, de la cual no podemos dar datos. Afirman que los hackers han aprovechado la vulnerabilidad HeartBleed en OpenSSL que se estaba ejecutando en el concentrador del cliente SSL de la VPN, para de esta forma acceder a sesiones de navegación activas en la red interna de la compañía.
Recordemos que, el incidente comentado, se basa en aprovechar un fallo de seguridad grave encontrado en la función "heartbeat" de la Librería OpenSSL, en sistemas Linux y similares. Un atacante, si el sistema heartbeat está activo y es vulnerable (no todos lo son) podría conseguir hasta 64 Kb de credenciales en texto plano en cualquier cliente o servidor que negocie una conexión. Dicha vulnerabilidad ha afectado a unos dos tercios de los servidores web mundiales, incluyendo algunos tan populares como Yahoo .
Recientemente, se ha detenido a un adolescente canadiense por robar nombres de usuario, credenciales, IDs de sesión y otros datos en texto plano desde la Agencia de Finanzas de Canadá, explotando este mismo fallo. Esto hace pensar que una gran cantidad de ciberdelincuentes podría esta ahora mismo buscando monetizar este fallo, lo que exige tomar medidas.
El hacker consiguió robar los tokens de la sesión de navegación activa del usuario, para así poder atravesar la autenticación multi-factor y el software VPN utilizado para realizar el Login.
"De forma específica, el atacate envió repetidamente solicitudes "heartbeat" mal formuladas hacia el servidor web HTTPS conectado a la red VPN, que estaba compilado con una versión vulnerable de HeartBeat (versiones 1.01, 1.02 beta y derivadas de estas) para OpenSSL. Así obtuvieron los tokens de sesión activa correspondientes a usuarios autenticados"
OpenVPN ya había lanzado avisos a sus usuarios, comentando que podrían ser vulnerables al ataque, pues emplean el software open source mencionado por defecto: OpenSSL.
Según la firma de seguridad, está claro que el ataque HeartBleed no es rastreable, además el bug devuelve sólo 64 bits de memoria por cada requerimiento realizado a HeartBeat, pero para poder recopilar datos de interés un atacante deberá enviar una cadena continua de solicitudes. En esta situación, una Firma para los IDS, específicamente creada para la situación, arrojó la friolera de 17000 alertas durante la intrusión.
Detalles
Los investigadores publicaron las pruebas que aseguraban que el atacante al que habían rastreado era responsable del "robo de tokens de sesión de usuario legítimo":
"Una vez conectado a la VPN, el atacante intentaba moverse "lateralmente" para escalar sus privilegios en la organización", añade otro de los investigadores.
No olvidéis comprobar el estado del software en vuestra organización, podéis tomar como referencia esta breve guía al respecto.