セキュリティウォッチ すべてのパッチを適用します! 新しいキューピッド手法は、ハートブリードバグを悪用します

すべてのパッチを適用します! 新しいキューピッド手法は、ハートブリードバグを悪用します

ビデオ: Amito cosita ã ã ã (十一月 2024)

ビデオ: Amito cosita ã ã ã (十一月 2024)
Anonim

4月に、人気のあるOpenSSLコードライブラリのバグにより、攻撃者がセキュリティで保護されていると思われるサーバーからメモリをすくい取り、ログイン資格情報、秘密キーなどを取得する可能性があることを学びました。 「ハートブリード」と呼ばれるこのバグは、発見されるまで何年も存在していました。 このバグのほとんどの議論は、ハッカーが安全なサーバーに対してそれを使用することを想定しています。 ただし、新しいレポートは、LinuxとAndroidを実行しているサーバーとエンドポイントの両方で簡単に悪用できることを示しています。

SysValueの研究者であるLuis Grangeiaは、「Cupid」と呼ばれる概念実証コードライブラリを作成しました。 キューピッドは、既存のLinuxコードライブラリに対する2つのパッチで構成されています。 1つは「悪のサーバー」が脆弱なLinuxおよびAndroidクライアントでHeartbleedを悪用することを許可し、もう1つは「悪のクライアント」がLinuxサーバーを攻撃することを許可します。 Grangeiaは、ソースコードを無料で利用できるようにしました。他の研究者が参加して、どんな種類の攻撃が可能かを詳しく知ることを期待しています。

すべてが脆弱なわけではない

キューピッドは、特に拡張認証プロトコル(EAP)を使用するワイヤレスネットワークに対して機能します。 自宅のワイヤレスルーターはほとんど確実にEAPを使用しませんが、ほとんどのエンタープライズレベルのソリューションは使用します。 Grangeiaによると、一部の有線ネットワークでさえEAPを使用しているため、脆弱です。

キューピッドコードがパッチされたシステムには、被害者の記憶からデータを取得する3つの機会があります。 セキュリティで保護された接続が行われる前に攻撃する可能性がありますが、これは少し心配です。 セキュリティを確立するハンドシェイク後に攻撃できます。 または、アプリケーションデータが共有された後に攻撃することができます。

キューピッドを搭載したデバイスが何をキャプチャできるかについては、Grangeiaは「脆弱なクライアントとサーバーの両方で興味深いものを発見した」とはいえ、広範には決定していません。 この「おもしろいもの」に秘密鍵やユーザー資格情報が含まれるかどうかは、まだわかっていません。 ソースコードをリリースする理由の一部は、そのような詳細を発見するためにより多くの頭脳を働かせることです。

何ができる?

Android 4.1.0および4.1.1は、どちらもOpenSSLの脆弱なバージョンを使用しています。 Blueboxのレポートによると、それ以降のバージョンは技術的に脆弱ですが、ハートビートメッセージングシステムが無効になっているため、Heartbleedには何の悪用もありません。

Androidデバイスで4.1.0または4.1.1を実行している場合は、可能であればアップグレードします。 そうでない場合、Grangeiaは「ROMをアップグレードしない限り、未知のワイヤレスネットワークへの接続を避けるべきです」とアドバイスします。

ワイヤレス経由で接続するLinuxシステムは、OpenSSLにパッチが適用されていない限り脆弱です。 そのようなシステムを使用している人は、パッチが適切に配置されていることを再確認する必要があります。

EAPを使用する企業ネットワークについては、GrangeiaはシステムをSysValueまたは別の機関でテストすることを提案しています。

Mac、Windowsボックス、およびiOSデバイスは影響を受けません。 かつて、Linuxが問題を抱えています。 Grangeiaの完全な投稿をここで読むか、スライドショーのプレゼンテーションをここで見ることができます。 自分が研究者である場合は、コードを入手して少し実験してみてください。

すべてのパッチを適用します! 新しいキューピッド手法は、ハートブリードバグを悪用します