Heartbleed POC: ¿Es esta información confidencial?

1

Para demostrar el problema de Heartbleed, ejecuté un exploit disponible públicamente contra un servidor web NAS antiguo y vulnerable que desde entonces ha sido reemplazado.

A continuación se muestra un extracto de la salida posterior: (Algunos de los cuales, parecen ser binarios o encriptados.)

...................................................................../index.php......RC4-SHA.RC4-SHA.Xq?...............?.......?.....index...php.ex.h....................SHA.application
/x-httpd-php.mod_ssl/2.2.14..mod_ssl/2.2.14..OpenSSL/1.0.1e..OpenSSL/1.0.1e..TLSv1.2.NULL....RC4-SHA.RC4-SHA.false...false.............128...128...............128...128.....NONE....3.......3........
ABF42CCAC60E1D07........ABF42CCAC60E1D07........ABF42CCAC60E1D07........Jul 12 04:20:13 2011 /L=Taipei/O=QNAP Systems Inc./OU=NAS/CN=TS Series NAS/[email protected]....
/C=TW/ST=Taiwan/L=Taipei/O=QNAP Systems Inc./OU=NAS/CN=TS Series [email protected][email protected]......
/C=TW/ST=Taiwan/L=Taipei/O=QNAP Systems Inc./OU=NAS/CN=TS Series NAS/[email protected]..../C=TW/ST=Taiwan/L=Taipei/O=QNAP Systems Inc./OU=NAS/CN=TS Series 
NAS/emailAddress=q_support@qnap.com....TW......TW......Taiwan..Taiwan..Taipei..Taipei..\T.BdT.BPTTH,N.B..?._LSSDN.B8.?._LSSXN.BH.?._LSShN.BP.?._LSS|N.B'.?._LSS.N.Bp.?._LSS.N.B..?._LSS.N.B..?._ 
LSS.N.B..?._LSS.Q.B..?._LSS.Q.B..?._LSS.Q.BH.?._LSS.Q.B..?._LSS.Q.B0.?._LSS.R.B..?._LSS.R.B..?._LSS,[email protected]..?._LSSTR.B..?._LSShR.B..?._LSS.R.B@.?._LSS.S.B..?._LSS.S.B0.?._LSS0S.B@.?._
LSSDS.BP.?._LSSXS.B..?._LSSlS.B..?._LSS.S.B..?._LSS.T.B(.?._LSS$T.BP.?._LSS8T.Bx.?._LSSLT.B..?._LSS.............................................................................................
.............................................................................................................QNAP Systems Inc........QNAP Systems Inc........NAS.....NAS.....TS Series NAS...TS Series
[email protected]_support@qnap.com......rsaEncryption...rsaEncryption...sha1WithRSAEncryption...sha1WithRSAEncryption...F12392A6F7C71C1A30642791B394C4BBAF8103A6772BD28E387CBD4979FC7AEE
........F12392A6F7C71C1A30642791B394C4BBAF8103A6772BD28E387CBD4979FC7AEE..............................................................................................................................

¿Qué es exactamente esta información?

En particular; estas cadenas de caracteres hexadecimales se parecen a algún tipo de clave / hashes:

F12392A6F7C71C1A30642791B394C4BBAF8103A6772BD28E387CBD4979FC7AEE

ABF42CCAC60E1D07

¿Esta información es de algún uso o interés en particular para los posibles atacantes / escuchas?

    
pregunta tjt263 11.05.2016 - 16:56
fuente

2 respuestas

4

Resultados de Heartbleed en la memoria arbitraria del servidor que se divulga. A veces esto contiene información sensible. En algunos casos, esta es la clave privada del servidor, que puede ser la información más confidencial del servidor. En muchos casos, puede contener información destinada a un cliente diferente. Esto es probablemente lo que está viendo: certificados, cadenas de versión y otra información utilizada internamente por el servidor web.

    
respondido por el bonsaiviking 11.05.2016 - 17:59
fuente
2

Heartbleed expone, como mencionó la otra respuesta, la memoria arbitraria. En un NAS no utilizado, lo más probable es que no sea información confidencial.

Sin embargo, esto parece ser un certificado, tal vez también, como dijo el polinomio, (parte de) la clave privada.

La ejecución del exploit varias veces probablemente producirá resultados diferentes; Unir las piezas puede, de hecho, generar contraseñas en texto sin formato, tokens y otra información confidencial, especialmente en servidores con algo de uso.

Sin embargo, sus preguntas en los comentarios sugieren que no entendió lo que hace el exploit porque nada "permanece cifrado"; básicamente, obtiene un volcado de una parte de la memoria. Si eso es realmente una memoria encriptada, Heartbleed no ayudará allí.

Pero la mayoría de las veces, los datos "encriptados" (por ejemplo, bytes de apariencia aleatoria) pueden ser claves privadas o claves simétricas de uso interno.

Intente ejecutar el exploit varias veces seguidas con algo de carga en la máquina y podrá extraer la clave privada para el certificado si aún no lo ha hecho.

Con eso, podrías hacer un MITM, sin embargo, esto no es tan interesante para un NAS como lo es para un servidor web de acceso público, por ejemplo.

    
respondido por el Tobi Nary 11.05.2016 - 18:36
fuente

Lea otras preguntas en las etiquetas