Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
I april fikk vi vite at en feil i det populære OpenSSL-kodebiblioteket kan tillate angripere å skaffe minne fra antatt sikre servere, potensielt fange inn påloggingsinformasjon, private nøkler og mer. Denne feilen ble kalt "Heartbleed" og eksisterte i mange år før den ble oppdaget. De fleste diskusjoner om denne feilen antok at hackere ville bruke den mot sikre servere. En ny rapport demonstrerer imidlertid at den lett kan utnyttes på både servere og sluttpunkter som kjører Linux og Android.
Luis Grangeia, forsker ved SysValue, opprettet et proof-of-concept-kodebibliotek som han kaller "Cupid." Cupid består av to oppdateringer til eksisterende Linux-kodebiblioteker. Den ene lar en "ond server" utnytte Heartbleed på sårbare Linux- og Android-klienter, mens den andre lar en "ond klient" angripe Linux-servere. Grangeia har gjort kildekoden fritt tilgjengelig, i håp om at andre forskere vil bli med og lære mer om hva slags angrep som er mulig.
Ikke alle er sårbare
Cupid fungerer spesifikt mot trådløse nettverk som bruker EAP (Extensible Authentication Protocol). Den trådløse hjemmerauteren din bruker nesten ikke EAP, men de fleste løsninger på Enterprise-nivå gjør det. I følge Grangeia bruker til og med noen kablede nettverk EAP og ville derfor være sårbare.
Et system lappet med Cupid-koden har tre muligheter til å hente data fra offerets minne. Det kan angripe før den sikre tilkoblingen til og med er opprettet, noe som er litt alarmerende. Det kan angripe etter håndtrykk som etablerer sikkerhet. Eller den kan angripe etter at applikasjonsdata er delt.
Når det gjelder akkurat hva en Cupid-utstyrt enhet kan fange opp, har Grangeia ikke i stor grad bestemt at, selv om "flyktig inspeksjon fant interessante ting på både sårbare klienter og servere." Hvorvidt disse "interessante tingene" kan omfatte private nøkler eller brukeropplysninger er ikke kjent ennå. En del av grunnen til å slippe kildekoden er å få flere hjerner som jobber med å oppdage slike detaljer.
Hva kan du gjøre?
Android 4.1.0 og 4.1.1 bruker begge en sårbar versjon av OpenSSL. I følge en rapport fra Bluebox er senere versjoner teknisk sårbare, men meldingssystemet for hjerteslag er deaktivert, noe som gir Heartbleed ingenting å utnytte.
Hvis Android-enheten din kjører 4.1.0 eller 4.1.1, kan du oppgradere hvis mulig. Hvis ikke, anbefaler Grangeia at "du bør unngå å koble til ukjente trådløse nettverk med mindre du oppgraderer ROM-en."
Linux-systemer som kobles til via trådløs er sårbare med mindre OpenSSL har blitt oppdatert. De som bruker slike systemer, bør dobbeltsjekke for å forsikre deg om at lappen er på plass.
Når det gjelder bedriftsnettverk som bruker EAP, foreslår Grangeia at de får testet systemet av SysValue eller et annet byrå.
Mac-er, Windows-bokser og iOS-enheter påvirkes ikke. For en gangs skyld er det Linux som er i trøbbel. Du kan lese Grangeias fulle innlegg her eller se en presentasjon av lysbildefremvisning her. Hvis du selv er forsker, kan det være lurt å ta tak i koden og gjøre litt eksperimentering.
