Heartbleed ausgenutzt für Multifaktor-Authentifizierungs-Bypass
Das Netzwerk Sicherheitsunternehmen Mandiant sagt, dass es Angreifer geschafft hätten, in ein abgeschottetes privates Netzwerk (VPN) einzudringen – unter Verwendung des Heartbleed-Bugs. Die Angreifer konnten einen Bypass um die Multifaktor-Authentifizierung des VPNs legen. Das angegriffene Unternehmen wurde bis jetzt noch nicht identifiziert und es ist auch noch nicht bekannt, ob Daten gestohlen wurden.
Laut Mandiant begann der Angriff am 08. April 2014, nur einen Tag nach Bekanntwerden der Schwachstelle. Dabei wurde Heartbleed verwendet, um legitime VPN-Session-Tokens abzugreifen. Schon mit einem einzigen aktiven Session-Token können Hacker mehrere aktive User-Sessions übernehmen und den VPN-Concentrator jedes Mal überzeugen, dass mit der Authentifizierung alles legitim ist. Der Fall zeigt, dass Heartbleed auch noch andere Verwendungsmöglichkeiten besitzt. Die IT-Gemeinschaft hat sich aber bisher fast ausschließlich damit beschäftigt, dass Heartbleed Schwachstellen ausnutzt, um private SSL-Keys zu stehlen, und weniger, um aktive Sessions zu übernehmen.
Angriffe dieser Art können nur aufgedeckt werden, wenn die Quellen der IPs im Internetverkehr jedes Mal kontrolliert werden. Um sich vor Heartbleed-Angriffen zu schützen, empfiehlt Mandiant, anfällige VPN-Systeme so schnell wie möglich zu aktualisieren.
Artikel von darkreading.com, 21.04.2014: Heartbleed Attack Targeted Enterprise VPN
Artikel von cnet.com, 18.04.2014: Heartbleed attack used to skip past multifactor authentication