Патч все вещи! новая техника купидона использует ошибку

В апреле мы узнали, что ошибка в популярной библиотеке кодов OpenSSL может позволить злоумышленникам забрать память с предположительно защищенных серверов, потенциально получая учетные данные для входа, личные ключи и многое другое. Названный «Heartbleed», эта ошибка существовала годами, прежде чем была обнаружена. В большинстве обсуждений этой ошибки предполагалось, что хакеры будут использовать ее против защищенных серверов. Однако новый отчет демонстрирует, что его можно легко использовать как на серверах, так и на конечных точках под управлением Linux и Android.

Луис Гранджия, исследователь из SysValue, создал библиотеку кодов для проверки концепции, которую он называет «Купидон». Cupid состоит из двух патчей для существующих библиотек кода Linux. Один позволяет «злому серверу» использовать Heartbleed на уязвимых клиентах Linux и Android, а другой - «злому клиенту» атаковать серверы Linux. Grangeia сделала исходный код свободно доступным, в надежде, что другие исследователи присоединятся, чтобы узнать больше о том, какие атаки возможны.

Не все уязвимы

Амур специально работает против беспроводных сетей, которые используют расширяемый протокол аутентификации (EAP). Ваш домашний беспроводной маршрутизатор почти наверняка не использует EAP, но большинство решений уровня предприятия используют. Согласно Grangeia, даже некоторые проводные сети используют EAP и, следовательно, будут уязвимы.

Система, исправленная кодом Cupid, имеет три возможности для сбора данных из памяти жертвы. Он может атаковать до того, как будет установлено безопасное соединение, что немного тревожит. Он может атаковать после рукопожатия, что устанавливает безопасность. Или он может атаковать после обмена данными приложения.

Что касается того, что устройство, оснащенное Купидоном, может захватывать, то Grangeia не очень подробно определила это, хотя «беглый осмотр обнаружил интересные вещи как на уязвимых клиентах, так и на серверах». Может ли этот «интересный материал» включать закрытые ключи или учетные данные пользователя, пока неизвестно. Одна из причин выпуска исходного кода состоит в том, чтобы больше мозгов работало над обнаружением таких деталей.

Что ты можешь сделать?

Android 4.1.0 и 4.1.1 используют уязвимую версию OpenSSL. Согласно отчету от Bluebox, более поздние версии технически уязвимы, но система обмена сообщениями пульса отключена, и Heartbleed ничего не может использовать.

Если ваше Android-устройство работает с 4.1.0 или 4.1.1, обновите, если это возможно. Если нет, Grangeia рекомендует, чтобы «вам не приходилось подключаться к неизвестным беспроводным сетям, если вы не обновите ПЗУ».

Системы Linux, которые подключаются через беспроводную сеть, уязвимы, если не был исправлен OpenSSL. Те, кто использует такие системы, должны перепроверить, чтобы убедиться, что патч на месте.

Что касается корпоративных сетей, использующих EAP, Grangeia предлагает протестировать систему в SysValue или другом агентстве.

Компьютеры Mac, Windows и iOS не затрагиваются. На этот раз проблема в Linux. Вы можете прочитать полный пост Grangeia здесь или просмотреть слайд-шоу здесь. Если вы сами являетесь исследователем, вы можете взять код и немного поэкспериментировать.