แฮกเกอร์เจาะ VPN ด้วย Heartbleed สำเร็จ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 April 2014 - 22:22 Tags:
Topics: 
VPN
Enterprise
Heartbleed

Mandiant บริษัทในเครือ FireEye รายงานว่ามีแฮกเกอร์ขโมย session ของเซิร์ฟเวอร์ VPN ด้วยบั๊ก Heartbleed สำเร็จ กระบวนการขโมย session นี้ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันตัวตนทุกรูปแบบ รวมไปถึงการยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ไปได้

รายงานบั๊ก Heartbleed ก่อนหน้านี้มักเป็นการขโมยกุญแจลับของเซิร์ฟเวอร์ ซึ่งหากขโมยสำเร็จก็มีโอกาสที่แฮกเกอร์จะถอดรหัสข้อมูลหรือขโมยรหัสผ่านของผู้ใช้ แต่การขโมย session เช่นนี้ทำให้แฮกเกอร์สามารถสวมรอยเข้าเป็นผู้ใช้ที่ล็อกอิน VPN สำเร็จแล้ว

ในไทยผู้ใช้ VPN ส่วนมากเป็นองค์กรขนาดใหญ่ การแจ้งเตือนจาก Mandiant ครั้งนี้ก็ย้ำว่าไม่ใช่เฉพาะเซิร์ฟเวอร์ HTTPS เท่านั้นที่ต้องตรวจสอบและอัพเดตซอฟต์แวร์ แต่รวมไปถึง VPN ทั้งหลายที่ใช้งานอยู่ก็ต้องอัพเดตทั้งหมดอย่างเร่งด่วนเช่นกัน

ที่มา - Mandiant

Get latest news from Blognone

Comments

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 20 April 2014 - 22:48 #696856
Ford AntiTrust's picture

ที่ตกใจกว่าคือ 2-factor authentication มันก็ผ่านได้!!!!

By: wichate
Android
on 20 April 2014 - 23:11 #696862 Reply to:696856

แบบนี้จะกี่ชั้นก็ผ่านได้หมด มันก็เหมือนเราไขประตูรั้ว ไขประตูบ้าน ไขประตูห้อง เข้ามานั่งดูทีวีบนโซฟา แต่คุณพระ เงาของคุณตามคุณมาถึงในห้องด้วย

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 21 April 2014 - 00:28 #696875 Reply to:696862
Ford AntiTrust's picture

เข้าใจว่าการจะทะลุ 2-factor authen ได้ ต้องมาจากการขโมย session ตัว VPN ที่ยังไม่หมดอายุมาใช้งานต่อ (คล้ายๆ ขโมย session ของเว็บ) ถ้าจะแฮกแบบนี้ ต้องรอให้เป้าหมายเข้าใช้งานแล้วขโทยระหว่างทางตอนออกจากระบบแล้วเข้าไปใช้งานต่อหลังจาก logout แล้ว แต่คิดว่าถ้า session นั้น logout และทำล้าย session ทิ้ง ก็อาจจะรอดก็ได้มั้ง

By: zotix
ContributoriPhoneAndroidWindows
on 20 April 2014 - 22:51 #696857

สงสัยว่า Heartbleed มันเกิดฝั้งลูกข่ายได้ไหมครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 20 April 2014 - 23:03 #696859 Reply to:696857
Ford AntiTrust's picture

ถ้า client มี push service (ทำงานคล้ายๆ server service ซึ่งรอรับการส่งข้อมูลย้อนกลับ) ก็โดนเหมือนกันครับ

By: yannarak on 20 April 2014 - 23:04 #696860 Reply to:696857

ได้ครับ เครื่องแม่ข่ายของผู้ไม่ประสงค์ดี ก็สามารถใช้ Heartbleed bug มาโจมตีเครื่องลูกข่ายที่ใช้ OpenSSL รุ่นที่มีปัญหาเช่น Android 4.1.1 ได้เช่นกันครับ

http://www.theregister.co.uk/2014/04/10/many_clientside_vulns_in_heartbleed_says_sans/

By: tekkasit
ContributorAndroidWindowsIn Love
on 20 April 2014 - 23:00 #696858
tekkasit's picture

สูตรนี้ไม่ต้องถึงขนาดได้ private key แค่ยิงจนได้ session token ของคนที่พิสูจน์ตัวตนสำเร็จ แค่นี้ก็ติดต่อกับเซิร์ฟเวอร์เสมือนกับตัวจริง (หรือแย่งกับตัวจริง)

งามล่ะงานนี้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 April 2014 - 23:19 #696864 Reply to:696858
lew's picture

ที่จริงแล้วหลายคนคิดกันกว่า session น่าจะยากกว่า private key ครับ (ถึงได้แนะนำ 2-factor) เพราะ session id มักจะ random มาไม่เหมือน private key ที่เวลาดึงข้อมูลแล้วสามารถนำมา "ตรวจสอบ" หา prime ได้

กรณีนี้แฮกเกอร์สามารถจับ pattern บางอย่างของ VPN ที่ใช้ OpenSSL ได้ ทำให้สามารถแยก session id ออกมาจากหน่วยความจำอื่นๆ ได้

ยังไม่มีข้อมูลว่ามันแยกออกมาได้ยังไงเหมือนกัน

lewcpe.com, @wasonliw

By: tekkasit
ContributorAndroidWindowsIn Love
on 21 April 2014 - 00:23 #696874 Reply to:696864
tekkasit's picture

อยากรู้เหมือนกัน เพราะค่า session token ควรจะสุ่ม ซึ่งตามทฤษฎีแล้วการที่ล้วงข้อมูลออกมาได้ ก็น่าจะ'รู้'ได้ว่าเป็น session token ได้ยาก

เลยอยากรู้ว่า มัน'รู้' ได้ไงว่าข้อมูลที่โกยมาได้ มี session key ด้วย

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 21 April 2014 - 10:59 #696925 Reply to:696874
PaPaSEK's picture

อาจเพราะรู้อยู่แล้วว่ามีรึเปล่าครับ ที่เหลือแค่มาหั่นข้อมูลดู

By: lew
FounderJusci's WriterMEconomicsAndroid
on 21 April 2014 - 11:37 #696932 Reply to:696925
lew's picture

รู้น่ะคงรู้ครับ แต่หั่นยังไงให้ถูกนี่อีกเรื่องเลย

lewcpe.com, @wasonliw

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 21 April 2014 - 15:34 #696980 Reply to:696932
PaPaSEK's picture

00000000 00000000
00000000 00000000
00000000 01234567
89ABCDEF 00000000
00000000 00000000
00000000 00000000
00000000 00000000
00000000 00000000

? อันนี้โพสต์เอาฮานะครับ

ผมเชื่อว่า context มันน่าจะช่วยเยอะครับ ส่วนตัวมองว่าแฮกเกอร์คนนี้พอจะรู้ตื้นลึกหนาบางเกี่ยวกับเป้าหมาย ทำให้รู้ว่าข้อมูลที่ดึงมาประกอบด้วยอะไรบ้าง

64K ก็ไม่ใช่ว่าเยอะ brute force โลด

By: lew
FounderJusci's WriterMEconomicsAndroid
on 21 April 2014 - 15:51 #696987 Reply to:696980
lew's picture

ครั้งละ 64K ครับ ในความเป็นจริงกว่าจะเจอ session key ต้องควานออกมาหลายพันหลายหมื่นครั้ง การ brute force เฉยๆ คงเป็นไปไม่ได้

lewcpe.com, @wasonliw

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 21 April 2014 - 16:45 #696997 Reply to:696987
PaPaSEK's picture

LUK 99+10 ครับ ไม่มีเหตุผลอื่นๆ แล้ว อิอิ

By: 100dej
AndroidWindows
on 21 April 2014 - 14:35 #696971 Reply to:696925

จับ hacker รายนี้ได้ ส่งเข้าห้องวิจัยให้ไปช่วยถอดรหัส DNA เลย

By: super_lw
ContributorAndroidUbuntuWindows
on 21 April 2014 - 16:09 #696990
super_lw's picture

หรือจะถึงยุคของ biometrics authentication แล้วนะ

Educational Technician

By: lew
FounderJusci's WriterMEconomicsAndroid
on 21 April 2014 - 16:25 #696994 Reply to:696990
lew's picture

ไม่เกี่ยวครับ

lewcpe.com, @wasonliw

By: super_lw
ContributorAndroidUbuntuWindows
on 22 April 2014 - 01:15 #697109 Reply to:696994
super_lw's picture

ไม่ว่าจะวิธีไหน เขาก็ข้ามขั้นตอนไปได้งั้นใช่ไหมครับ

Educational Technician