La faille Heartbleed exploitée pour attaquer les VPN d’entreprise

Jacques Cheminat,

La vulnérabilité Heartbleed découverte dans OpenSSL élargit son champ de compétences. Des chercheurs ont découvert des attaques utilisant ce bug et visant spécifiquement les VPN d’entreprises.

Plus d’une semaine après la découverte de la faille dans la librairie de chiffrement SSL/TLS OpenSSL, baptisée Heartbleed, les annonces d’attaques utilisant ce bug se multiplient. Dernier épisode en date, les chercheurs de Mandiant, filiale de FireEye, ont découvert une attaque visant les VPN (Virtual Private Network) d’entreprises, avec comme objectif le vol de données.

Christopher Glyer, directeur technique de Mandiant et Chris DiGiamo, consultant senior ont expliqué, dans un post sur un blog, les détails de l’opération : « l’attaquant a envoyé à plusieurs reprises des requêtes Heartbeat (le protocole à l’origine de la faille Heartbeet, NDLR) corrompues au serveur web HTTPS depuis un terminal avec VPN actif.  Cette attaque a été compilée avec une version vulnérable d’OpenSSL pour obtenir les identifiants (token) de sessions actives des utilisateurs ». Les deux spécialistes indiquent qu’ « avec ces token, l’attaquant a réussi à détourner plusieurs sessions actives et a forcé le concentrateur VPN à valider son authentification ». Ils ajoutent qu’ « une fois connecté au VPN, le cybercriminel a tenté de pirater des comptes d’autres personnes et d’élever ses privilèges au sein du réseau de l’entreprise ». Autre particularité de cette opération, le système de double-authentification intégré au logiciel de VPN a été contourné.

Une analyse des logs et des détections d’intrusion

Mandiant s’est refusé à nommer l’entreprise qui a été victime de cette attaque. Elle a été repérée le 8 avril soit un jour après la publication du papier sur la découverte de la faille Heartbleed. Comme pour les sites web, des précautions sont à prendre. Il faut ainsi commencer par vérifier si son VPN est vulnérable.

Christophe Glyer et Chris DiGiamo prêchent également pour leurs activités en recommandant d’utiliser une analyse de log et les rapports du système de détection d’intrusion pour constater les anomalies sur la fréquence des changements d’adresses IP pendant les sessions VPN. « Un changement d’adresse IP pendant une session est naturel, mais il devient suspect quand il intervient plusieurs fois dans un délai très court avec une alternance de blocs réseaux et de localisations géographiques différents depuis des opérateurs différents », précisent les deux experts. L’idée est à travers de ces incidents de créer des signatures sur les différentes attaques pour mieux les contrer. Enfin, les spécialistes poussent les responsables sécurité des entreprises à regarder attentivement les mises à jour des éditeurs de logiciels VPN en cours de développement et à déployer les correctifs en urgence.

En complément :

Heartbleed: VMware  touché, Hyper V épargné

Heartbleed: McAfee met en ligne un outil de test dédié aux internautes