samedi 29 novembre 2014

Heartbleed , 9 mois après!

Rappelez-vous “Mars 2014”! Et la panique qui a suivi l’annonce de Heartbleed!
Un bref rappel sur la vulnérabilité. Ce schéma est plutôt explicite: un mauvais contrôle de la longueur d’un paramètre dans le “heartbeat” du côté du serveur! C’est très bête! Quand on pense que cette faille existait depuis longtemps! Erreur ou porte dérobée! Je vous laisse décider.
Simplified_Heartbleed_explanation.svg
Sur le site https://zmap.io/heartbleed/ on trouve une liste de sites web vulnérables qui date d’Avril 2014. Et surprise, certains sites sont toujours vunlérables! Nous allons donc pouvoir faire quelques tests.
Tout d’abord pour vérifier qu’un site est toujours vulnérable vous pouvez utiliser le site de Filippo Valsorda (https://filippo.io/Heartbleed/).
Les scripts Python que l’on peut utiliser se trouvent dans le Github de Peter Wu sous le nom de Pacemaker (https://github.com/Lekensteyn/pacemaker).
La première approche consiste à utiliser le script heartbleed.py en passant en paramètre le nom du site ciblé:
   1: python .\heartbleed.py mrwallpaper.com
Voici un extrait des résultats qu’il est maintenant nécessaire d’exploiter et ce n’est pas le plus facile. Il se peut même que vous ne trouviez aucun mot de passe ou aucune clef privée! Notez que certaines options de heartbleed.py permettent de vous aider dans votre quête.
image
Si le site résiste à heartbleed.py vous pouvez utiliser pacemaker.py si votre site cible permet d’entrer en paramètre une URL pour télécharger une image par exemple.

Le principe est de lancer pacemaker.py qui écoute sur le port 4433.

   1: python .\pacemaker.py
image
Puis vous allez sur le site “cible” et vous saisissez l’URL (en HTTPS) de votre serveur dans le champ du site permettant par exemple le téléchargement d’une image à partir d'une URL.
Capture
La communication est initiée par le site web et en retour le serveur tente d’envoyer la commande heartbeat corrompue.

Heureusement ça ne marche pas à chaque fois!


Aucun commentaire:

Enregistrer un commentaire

Partager avec...