Heartbleed-подобный эксплойт Cupid. Новый вектор атаки на OpenSSL
Помните Heartbleed? Несколько недель назад информация об этой уязвимости ужаснула интернет, в очередной раз доказывая, что даже вещи, которые кажутся защищенными, могут быть взломаны.
Сайты, потенциально уязвимые heartbleed просили своих пользователей сменить пароли. Под угрозой взлома оказались зашифрованные данные на сайтах начиная от Amazon Web Services и Yahoo до Reddit.
Несмотря на то, что ситуация улучшилась после выпуска заплаток безопасности и приложенные усилия по массовому обновлению соответствующих пакетов, Heartbleed снова представляет опасность.
Встречайте, Cupid
Луис Грангея (Luis Grangeia) специалист по безопасности в SysValue на этой недели обнаружил новый вектор атаки, который поражает беспроводные маршрутизаторы и устройства на Android. Атака производится с помощью WiFi и ей подвергаются как клиент так и сервер.
Новый вектор атаки называется «Cupid», это вариация на тему Heartbleed. Первоначально считалось, что атаку Heartbleed можно реализовать только через TCP-соединение после «рукопожатия» (TCP handshake), отметил Луис. Cupid полностью разрушил этот миф.
Cupid приподносит нам еще один урок: OpenSSL — это отстой!
OpenSSL — отстой
Технические специалисты с этим согласны, но более сдержанны в выражениях, тем не менее проводятся попытки улучшить OpenSSL.
Группа технических компаний The Core Infrastructure Initiative объединенных The Linux Foundation в ответ на Heartbleed объявили о выделении средств нескольким проектам с открытым исходным кодом, чтобы улучшить безопасность.
Приоритетное внимание уделяется таким протоколам, как Network Time Protocol, OpenSSH and OpenSSL эти проекты будут финансироваться в первую очередь. OpenSSL рассчитывает получить средства для найма двух core-разработчиков на полный рабочий день.
Компании, участвующие в инициативе включают Adobe, Amazon Web Services, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, HP, Huawei, IBM, Intel, Microsoft, NetApp, Rackspace, Salesforce.com и VMware.
Слишком мало, слишком поздно?
Насколько успешной окажется инициатива еще предстоит выяснить.
«Нет сомнений, что дополнительная поддержка OpenSSL улучшит ситуацию, но сложно сказать, не окажется ли этого слишком мало и слишком поздно,» передал LinuxInsider Тим Ирлин (Tim Erlin), директор по IT безопасности в Tripwire.
«Дополнительная поддержка OpenSSL поможет коду развиваться, но она не может магическим образом пропатчить уже запущенные экземпляры криптографических библиотек, которые оказались скомпрометированными. Это означает, что безопасность пользователей по прежнему зависит от миграции на новые версии и применения патчей»
«Фактически, опасность Heartbleed все еще довольно высока, не смотря на усилия индустрии за последний месяц,» сообщил Ламар Бейли (Lamar Bailey), директор исследований безопасности в Tripwire.
«Как правило, проходит некоторое время, пока будут повсеместно применены новые патчи и обновления в больших организациях. Это связанно с этапом тестирования и периодичностью внесения изменений. К сожалению, для пользователей это означает, что успешные атаки с применением Heartbleed будут происходить еще в течении нескольких месяцев, а может быть даже и лет.»
Следующую серьезную атаку с применением техники, подобной Heartbleed практически невозможно предугадать, отметил Эндрю Аванесян (Andrew Avanessian), вице-президент global professional services в компании Avecto.
По этой причине, «IT-сектор должен занять активную позицию в вопросах информационной безопасности чтобы снизить подверженность компаний к будущим атакам», сказал он LinuxInsider.
«Стратегия глубокой обороны (эшелонированная оборона, Defense-in-depth) должна включать в себя, как реактивные, так и проактивные меры, в том числе регулярные патчи, удаление возможной эскалации привилегий для всех пользователей,» предлагает Эндрю
«Это будет гарантией того, что если злоумышленник сумел получить доступ к учетным данным пользователя с помощью Heartbleed-подобной уязвимости, возможный ущерб будет ограничен правами пользователя,» объяснил он.
«После того, как были приняты все шаги по восстановлению ситуации, Heartbleed занял выжидающую позицию,» поделился своими наблюдениями Пол Мартини (Paul Martini), CEO Iboss Network Security.
«Смена паролей, также как и сертификатов было хорошей идеей,» передал он LinuxInsider. «Однако, как мы обнаружили, нет надежных методов.»
Перевод статьи Erika Morphy, оригинал
