Vulnerabilità Heartbleed: rischi all'interno della tua rete

2 maggio 2014

Vulnerabilità Heartbleed: rischi all'interno della tua rete

Si è parlato molto dell'impatto globale di Heartbleed. Innanzitutto, abbiamo avuto tutte le descrizioni di Heartbleed: la mia preferita era quella su xkcd. Poi abbiamo visto gli avvisi che ci invitavano a cambiare la nostra password sui siti web pubblici. A questi è seguito un avviso che, poiché le chiavi private dei certificati potevano essere recuperate sfruttando Heartbleed, avremmo dovuto cambiare le nostre password immediatamente, attendere che i siti web cambiassero i loro certificati e poi cambiare nuovamente le nostre password.

Ciò che ha ricevuto molta meno attenzione è il fatto che molti dei nostri comuni prodotti aziendali (ad esempio router, firewall, proxy web) all'interno della nostra infrastruttura sono anch'essi vulnerabili a Heartbleed. I bollettini di Cisco, Juniper Networks e Blue Coat indicano un uso diffuso di OpenSSL, il software in cui è presente il bug Heartbleed, in questi prodotti. Anche i sistemi di controllo industriale di aziende come Siemens presentano questa vulnerabilità, come ha recentemente scritto Arik Hesseldahl su Re/code.net. E, a differenza dei siti web pubblici, molti dei quali sono già stati aggiornati per correggere il bug, la disponibilità e l'implementazione di patch per tutti i sistemi infrastrutturali comporta conseguenze inaspettate, tra cui la necessità di aggiornare il software a versioni più recenti di quelle attualmente in uso, con conseguenti cicli di test prima di poterlo implementare.

*Come funziona il bug Heartbleed di* *xkcd*

Valutazione della vulnerabilità Heartbleed nelle reti interne

Per cominciare, se gli indirizzi IP utilizzati per gestire router, firewall e altri sistemi infrastrutturali sono raggiungibili da Internet senza accesso VPN (considerata una cattiva pratica di sicurezza), dovresti essere molto preoccupato e dovresti aver già rimosso l'accesso diretto o applicato una patch al tuo sistema. Supponendo che gli indirizzi IP di gestione siano accessibili solo dall'interno della tua rete, lo scenario peggiore è il seguente:

Un hacker entra nella tua rete tramite malware un altro tipo di attacco;
L'autore dell'attacco esegue una ricognizione e individua le interfacce di gestione dei sistemi infrastrutturali;
L'autore dell'attacco sfrutta la presenza di Heartbleed in tali sistemi infrastrutturali per leggere la memoria dei sistemi, recuperando le credenziali amministrative utilizzate di recente per accedere al sistema e, possibilmente, anche la chiave privata del certificato che protegge la connessione; \
L'autore dell'attacco utilizza le credenziali rubate per accedere e riconfigurare il sistema o, nel caso in cui non si tratti solo di credenziali di account locali, per accedere ad altre risorse non correlate.

Valutazione graduale del rischio di vulnerabilità Heartbleed

Fase 1: Presumere il compromesso

Accettache questo possa succedere anche a te; le organizzazioni subiscono continuamente malware , quindi dovremmo presumere che sia già successo o che possa succedere.

Fase 2: Implementare una soluzione per il rilevamento delle minacce

Si spera che abbiate una soluzione di sicurezza in grado di rilevare le scansioni eseguite nella fase di ricognizione di un attacco mirato. Se non l'avete, ne abbiamo una che potete valutare e implementare.

Passaggio 3: Protezione dagli exploit interni di Heartbleed

Un hacker che è entrato nella tua rete e usa Heartbleed per accedere al tuo sistema infrastrutturale è ovviamente molto preoccupante. Sarebbe fantastico se avessi una soluzione di sicurezza in grado di individuare tali attacchi all'interno della tua rete. Se non ne avete una, saremo lieti di fornirvene una da valutare e implementare ;-) Sebbene gran parte dei recenti articoli di stampa si siano concentrati sul furto delle chiavi private, la perdita della chiave privata risulta essere meno pericolosa in una rete aziendale.

Per utilizzare la chiave privata, l'autore dell'attacco deve intercettare altre connessioni allo stesso sistema oppure deve essere in grado di impersonare il sistema. Ai tempi degli hub, quando Ethernet era davvero un mezzo condiviso, intercettare il traffico di un altro computer era semplice come impostare la scheda di rete in modalità "promiscuous". Ma con gli switch, è possibile vedere solo il traffico broadcast, multicast o destinato al proprio computer.

Il metodo classico di impersonificazione avviene tramite trucchi ARP e funziona solo sulla sottorete su cui si trova l'host dell'autore dell'attacco. Se le interfacce di gestione dei sistemi si trovano su una sottorete separata, spesso anche su una VLAN separata, l'impersonificazione ARP non funzionerà. Quindi, anche se l'aggressore può ottenere l'accesso alla chiave privata del sistema, sfruttare la disponibilità della chiave privata non è così semplice come potrebbe sembrare. Ciò è in netto contrasto con il problema che i siti web pubblici hanno con Heartbleed: non possono dare per scontato che il traffico non possa essere intercettato a monte e, con tutti i trucchi DNS disponibili, non possono nemmeno dare per scontato che qualcuno non sia in grado di impersonarli con successo.

Passaggio 4: Gestire le credenziali e la sicurezza dell'identità

È qui che nasce la vera preoccupazione. Se avete seguito le migliori pratiche di sicurezza e integrato l'autenticazione amministrativa nei vostri sistemi infrastrutturali con un'infrastruttura di gestione delle identità standard (ad esempio Active Directory), le credenziali rubate potrebbero diventare le chiavi del regno. Possono essere utilizzate per accedere al sistema stesso o praticamente a tutto ciò a cui possono accedere i vostri amministratori di sistema.

Identificazione della superficie di attacco Heartbleed nelle reti interne

È possibile aggiornare tutti i router, gli switch e i firewall, ma dimenticare di aggiornare una stampante in una posizione poco visibile che ha la stessa integrazione di autenticazione della vostra infrastruttura più importante.

È solo questione di tempo, anzi, probabilmente sta già accadendo, prima che assistiamo ad attacchi mirati che utilizzano Heartbleed come una delle armi nell'arsenale degli aggressori per acquisire credenziali di account chiave e utilizzarle per arrivare ai gioielli della corona.

In altre parole, Heartbleed è disordinato tanto all'interno quanto all'esterno.

Domande frequenti

Che cos'è Heartbleed (CVE-2014-0160)?

Heartbleed è un bug di sicurezza nella libreria OpenSSL che consente agli hacker di leggere dati sensibili dalla memoria di un server.

In che modo le organizzazioni possono rilevare le vulnerabilità Heartbleed all'interno della propria rete?

Le organizzazioni possono rilevare le vulnerabilità Heartbleed utilizzando scanner e strumenti progettati per verificare la presenza del bug Heartbleed nei propri sistemi. Anche audit regolari e valutazioni automatizzate della sicurezza sono efficaci.

Quali misure occorre adottare per correggere Heartbleed nei sistemi interni?

Per correggere Heartbleed, le organizzazioni dovrebbero aggiornare le loro librerie OpenSSL all'ultima versione che risolve il bug. Inoltre, dovrebbero revocare e riemettere i certificati SSL/TLS e reimpostare le password, se necessario, per garantire che non vengano utilizzate credenziali compromesse.

Quali sono i rischi di non risolvere il problema Heartbleed nei sistemi interni?

Non risolvere il problema Heartbleed espone i sistemi interni al rischio di violazioni dei dati, accessi non autorizzati e potenziali perdite di informazioni sensibili. Ciò può comportare perdite finanziarie, danni alla reputazione e problemi di conformità.

In che modo gli hacker sfruttano Heartbleed nelle reti interne?

Gli aggressori sfruttano Heartbleed inviando richieste appositamente create a un server vulnerabile, che risponde fornendo dati sensibili dalla propria memoria. Questi possono includere nomi utente, password, chiavi private e altre informazioni riservate.

Quali tipi di infrastrutture sono maggiormente a rischio a causa di Heartbleed?

I server e i dispositivi che utilizzano versioni vulnerabili di OpenSSL sono i più a rischio. Ciò include server web, server di posta elettronica e qualsiasi dispositivo in rete che utilizzi le versioni di OpenSSL interessate.

In che modo le soluzioni di sicurezza possono aiutare a mitigare i rischi di Heartbleed?

Soluzioni di sicurezza come i sistemi di rilevamento delle intrusioni (IDS), i firewall e gli strumenti di gestione delle vulnerabilità possono aiutare a rilevare e bloccare gli exploit Heartbleed. Aggiornamenti e patch regolari a queste soluzioni sono essenziali per proteggersi dalle vulnerabilità note.

Quali sono gli impatti a lungo termine di Heartbleed sulla sicurezza della rete?

Gli effetti a lungo termine includono una maggiore consapevolezza della necessità di aggiornamenti regolari della sicurezza e migliori pratiche di sicurezza. Le organizzazioni potrebbero anche implementare controlli più severi e programmi di gestione delle vulnerabilità più rigorosi.

Ci sono stati incidenti recenti che hanno coinvolto exploit Heartbleed?

Sebbene Heartbleed abbia raggiunto il suo apice nel 2014, continuano a verificarsi incidenti occasionali quando i sistemi rimangono senza patch. Il monitoraggio regolare degli avvisi di sicurezza e dei rapporti sugli incidenti aiuta a rimanere informati sugli exploit recenti.

Quali sono le migliori pratiche per prevenire gli exploit Heartbleed nelle reti interne?

Le migliori pratiche includono mantenere aggiornato OpenSSL, eseguire regolarmente scansioni alla ricerca di vulnerabilità, implementare controlli di accesso rigorosi e formare il personale in materia di igiene della sicurezza. Sono inoltre fondamentali audit di sicurezza regolari e piani di risposta agli incidenti.