[Noticias] Não é mais teoria: já se conhece um caso de servidor OpenVPN comprome

[Elton]

Não é mais teoria: já se conhece um caso de servidor OpenVPN comprometido via bug Heartbleed

De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam rodando determinados sistemas de segurança.
Embora só na quinta-feira tenha circulado amplamente a informação sobre a infame vulnerabilidade no OpenSSL também afetar o OpenVPN, o ataque bem-sucedido ao concentrador de VPNs de uma corporação de grande porte que foi divulgado ontem iniciou há quase 2 semanas, já no dia 8 – um dia depois da divulgação da existência do próprio bug Heartbleed, inicialmente associado a um risco contra servidores web (https).
Não foi divulgada qual a empresa afetada, só que ela é de grande porte e conta com meios avançados de detecção de ataques – mas eles não foram suficientes para evitar que este ataque em particular se consumasse. Seus logs indicam que apenas 17.000 tentativas de leitura de memória por meio do bug foram necessárias.
Ao contrário do que ocorre com servidores web, este ataque bem-sucedido a um servidor OpenVPN não tentou obter senhas ou outras informações pessoais dos usuários, mas sim ter acesso a tokens confirmando a autenticação bem-sucedida de sessões existentes – e aí os atacantes usaram esses tokens para sequestrar as conexões dos usuários legítimos, usando-as

Como o primeiro caso conhecido ocorreu no dia 8, é possível que o seu procedimento de segurança exija que você faça revisão dos logs dos seus próprios servidores OpenVPN. Se for o caso, os responsáveis pela identificação da invasão acima sugerem que você pesquise por situações em que mais de um IP usou a mesma sessão VPN paralelamente – meras mudanças de IP ao longo da sessão são comum em casos legítimos, mas o uso simultâneo por 2 IPs é um forte indício de que havia algo estranho – como um sequestro de sessão – em andamento.

Um pesquisador divulgou ter conseguido, usando a mesma falha Heartbleed anteriormente explorada em servidores web, extrair repetidamente a chave privada de um servidor OpenVPN, e até mesmo criar outro servidor que conseguia se passar pelo servidor original.
Existem vários produtos baseados no OpenVPN, e alguns deles estão em mais risco do que outros, porque incluem até mesmo a sua própria cópia dos fontes do OpenSSL, o software no qual o bug Heartbleed reside, e assim permanecem com o bug mesmo após upgrades do próprio OpenSSL.
Nos demais, o risco está associado a não ter havido o upgrade do OpenSSL que, agora sabemos na prática, precisa ser feito mesmo se não há um servidor web usando-o.
Como o OpenVPN é popular até mesmo em dispositivos embarcados que ficam esquecidos pelos cantos e não oferecem acesso web (https) em suas interfaces expostas, como roteadores da classe SOHO, a questão das chaves privadas poderem ser obtidas por meio dele me parece algo que vai ter que gerar nova onda de preocupação entre os profissionais do ramo, e até em quem não tem um servidor de VPN mas usa clientes VPN para acessar servidores que possam estar comprometidos.


Fonte: http://br-linux.org/2014/01/nao-e-mais- ... bleed.html