2014年4月21日 星期一

駭客利用Heartbleed 漏洞入侵VPN,多因素認證防護破功

駭客利用Heartbleed 漏洞入侵VPN,多因素認證防護破功

HeartBleed漏洞自公佈以來,這項入侵案再度顯示其危害程度,因為駭客不僅可以竊取系統重要資料、加密金鑰之外,還可以主動綁架使用者的VPN連線,連強調更進階防護的多因素認證也破功。


安全廠商Mandiant表示,已有客戶遭到駭客藉由Heartbleed漏洞發動目標式攻擊,並藉以繞過多因素認證機制綁架使用者的VPN連線。

Mandiant 技術總監 Christopher Glyer指出,該公司的安全事件回應人員發現,一名駭客利用OpenSSL的HeartBleed漏洞入侵客戶VPN裝置,並自4月8日起,多次針對這台VPN裝置上的HTTPS網頁伺服器多次傳送遭改寫的heatbeat呼叫,成功取得現有已經驗證用戶工作時段的令牌(active session token),之後再進行遠端存取,以該令牌綁架多道使用者的工作時段,且冒充合法使用者。

雖然HeartBleed攻擊難以察知,但該公司還是透過分析客戶入侵偵測系統(IDS)簽章及VPN記錄兩種來源辨識並證實攻擊的存在。Glyer表示,IDS的簽章顯示可能來自入侵OpenSSL HearBleed的大量heartbeat回應,引發17,000次警報,而經分析顯示Heartbeat回應來自客戶公司內部的SSL VPN裝置。

Mandiant 指出,這樁攻擊已成功繞過了客戶公司的多因素認證及用於驗證連網系統身分的VPN用戶端軟體。至於客戶因此損失何種資料則未說明。

在HeartBleed漏洞自公佈以來,這項入侵案再度顯示其危害程度,因為駭客不僅可以竊取系統重要資料、加密金鑰之外,還可以主動綁架使用者的VPN連線,連強調更進階防護的多因素認證也破功。

Mandiant 提醒企業用戶,為防範成為HeartBleed漏洞的受害者,應及早更修補有漏洞的軟體,並安裝網路入侵偵測防禦系統簽章,以辨識有入侵意圖的流量。此外也應檢視歷史VPN記錄,辨識出IP連線是否在兩個IP位址之間反覆變換的情形,如果在短期間內有跨網路區塊、地理區、或不同服務供應商的網址變化的話,就有連線被綁架的可能。

轉載自《iThome》