– root@injetionsec:~#

Ataque da semana OpenSSL Heartbleed

11.04.2014 (5:23 pm) – Filed under: Pentest ::

Homer-Simpson

Bem galera vamos explicar mais ou menos o que de fato esta ocorrendo nesse bug heartbleed,

Heartbleed é um pequeno bug, que tem uma falha especifica da  biblioteca SSL,é  um pedaço de lógica que diz respeito à implementação do OpenSSL do mecanismo TLS ‘ Heartbeat’.O bug está presente nas versões OpenSSL1.0.1 através 1.0.1f,muitos desses servidores são susceptíveis vulnerável.

Um invasor pode descriptografar sessões em curso TLS ou roubar informações úteis, uma vez que um atacante obtem as  principais chaves privadas do servidor ele pode potencialmente descriptografar sessões anteriores.O pior de tudo o exploit não deixa rastros,emuitos estão preocupados em sanar o SSL de servidores web mas estão esquecendo dos outros serviços como VPN, POP, IMAP, SMTP e etc que estão sem fazer nada.

4893rp

No CVE podemos ver que é possível capturar 64k de cada vez

Mas se fizemos isso : while [ 1 ]; do echo $( python heartbleed.py sitevulneravel.com -p 443) >> dump_memoria_1.log ; done

com isso podemos capturar um numero infinito de logs  de uma  área aleatória da memoria para depois analisar-mos,podemos usar os seguintes comandos para analisar,Obs.: é dois traços antes do color veja a imagem.

tail -f dump_memoria_1.log | grep -i pass –color  

ou

tail -f dump_memoria_1.log | grep -i cookie –color

Saiu também no nmap NSE  um plugin para checar a vulnerabilidade heartbleed  entre no diretorio /usr/share/nmap/scripts/  e salve, podemos usar esse scan da seguinte forma,obs.: antes do script use dois traços 

nmap -p 21,990,1194,443,8443,993,995,465,4430 -sC –script heartbleed.nse 192.168.0.1-255

Então galera e recomendado 

1- Fazer a atualização do OpenSSL
2- Revoguem o certificado
3- E troca das senhas dos usuários.

E isso galera =]