image

Privésleutels OpenVPN kwetsbaar door Heartbleed

zaterdag 19 april 2014, 11:19 door Redactie, 2 reacties

Ook de populaire VPN-oplossing OpenVPN blijkt kwetsbaar te zijn voor aanvallen via de Heartbleed-bug, zo heeft een medeoprichter van VPN-aanbieder Mullvad aangetoond. Via OpenVPN kunnen gebruikers een 'tunnel' naar een andere computer opzetten, bijvoorbeeld om toegang tot een bedrijfsnetwerk te krijgen.

OpenVPN beschikt over een SSL/TLS-mode waar er certificaten worden gebruikt voor het authenticeren van gebruikers. Standaard gebruikt OpenVPN voor deze mode OpenSSL. Hoewel het bekend was dat de VPN-oplossing in dit geval kwetsbaar voor aanvallen via de Heartbleed-bug is, was niemand er nog in geslaagd om ook een privésleutel van een certificaat te stelen. Daar is nu dankzij Fredrik Stromberg van Mullvad verandering in gekomen.

Exploit

Stromberg ontwikkelde een exploit die van de kwetsbaarheid misbruik maakte, zo liet hij op Hacker News weten. Aanvallen tegen OpenVPN zijn iets gecompliceerder, doordat het versleutelde verkeer zich binnen het OpenVPN-protocol bevindt. De aanval van Stromberg opent daarom eerst het OpenVPN-protocol en gebruikt daarna een Heartbleed-exploit om het geheugen uit te lezen, net zoals bij andere Heartbleed-aanvallen het geval is.

Stromberg liet zijn aanval de hele nacht doorlopen en had in de ochtend tussen de 1GB en 10GB aan geheugendumps van de server, meldt Ars Technica. Hierin bleek voldoende informatie aanwezig te zijn om de privésleutel van het certificaat te reproduceren en zo toegang tot het VPN te krijgen. Volgens de VPN-expert genereert de aanval weinig verkeer en zou daardoor veel netwerk- en systeembeheerders niet opvallen.

Vanwege de ernst van de aanval heeft Stromberg besloten de aanvalscode niet openbaar te maken, zo laat hij PC World weten. De aanval is nog niet door de ontwikkelaars van OpenVPN zelf getest, maar die gaan er vanuit dat de aanvalscode werkt zoals beschreven. Beheerders krijgen het advies om alle certificaten die met een kwetsbare OpenVPN-versie werden gebruikt te vervangen.

Reacties (2)
19-04-2014, 16:13 door Anoniem
Niet wanneer je tunnelclick en Mullvad openvpn gebruikt.
Bij tunnelclick is de bug al gepatcht,zodat je geen last meer hebt van Hartbleed.
21-04-2014, 12:57 door Mira
Door Anoniem: Niet wanneer je tunnelclick en Mullvad openvpn gebruikt.
Bij tunnelclick is de bug al gepatcht,zodat je geen last meer hebt van Hartbleed.


Bedoel je Tunnelblick i.p.v tunnelclick ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.