Heartbleed: gli hacker hanno già usato la vulnerabilità? [duplicare]

2

Leggi la vulnerabilità e decidi di visitare il sito. La ricezione di una risposta dal codice php è stata sorpresa. Guarda lo screenshot.

enter image description here

Script Perl: link

Gli hacker si sono già messi al lavoro?

    
posta user44425 13.04.2014 - 01:57
fonte

1 risposta

2

Qual è la tua domanda? Sì, è stato ampiamente descritto e l'attacco è banale da fare una volta che è stato reso noto che i battiti del cuore erano difettosi e hai guardato la sezione patchata di OpenSSL. Si modifica il payload_length di una richiesta heartbeat in qualcosa come ffff per ottenere 64K di nuovo; o qualcos'altro più grande del payload.

Più interessante è che l'attacco heartbleed è stato apparentemente utilizzato in natura lo scorso anno dagli indirizzi IP associati a una botnet che sembra loggare sistematicamente IRC :

The second log seems much more troubling. We have spoken to Ars Technica's second source, Terrence Koeman, who reports finding some inbound packets, immediately following the setup and termination of a normal handshake, containing another Client Hello message followed by the TCP payload bytes 18 03 02 00 03 01 40 00 in ingress packet logs from November 2013. These bytes are a TLS Heartbeat with contradictory length fields, and are the same as those in the widely circulated proof-of-concept exploit.

Koeman's logs had been stored on magnetic tape in a vault. The source IP addresses for the attack were 193.104.110.12 and 193.104.110.20. Interestingly, those two IP addresses appear to be part of a larger botnet that has been systematically attempting to record most or all of the conversations on Freenode and a number of other IRC networks. This is an activity that makes a little more sense for intelligence agencies than for commercial or lifestyle malware developers.

    
risposta data 13.04.2014 - 02:20
fonte

Leggi altre domande sui tag