«Обратный Heartbleed»: читаем память клиентских машин

В процессе апгрейда серверов для устранения уязвимости Heartbleed компания Meldium обнаружила странную вещь: некоторые веб-сайты, в том числе очень популярные, остаются уязвимыми даже после апгрейда. Речь идет о специфичном варианте атаки, который можно назвать «обратным Heartbleed».

Основное внимание пентестеров привлек наиболее логичный сценарий эксплуатации уязвимости, когда злонамеренный клиент атакует HTTPS-сервер, копируя куки, пароли и сертификаты из оперативной памяти. Но это не единственная возможная атака. Существует обратный сценарий, когда специально настроенный сервер отправляет heartbeat-пакеты по TLS — и считывает содержимое ОЗУ у клиентов! В самом деле, ведь TLS Heartbeat — это симметричный протокол, который предусматривает генерацию пакетов с обеих сторон.

Среди уязвимых клиентов — обычные веб-браузеры и другие приложения, которые используют HTTP API (все, от Dropbox до Microsoft Office), а также многие мобильные приложения на Android, iOS и других платформах. Для атаки достаточно перенаправить запросы с клиентской машины на вредоносный веб-сервер, что можно сделать методом MiTM в открытом хотспоте, локальной сети или взломанном маршрутизаторе. Уязвимы и веб-приложения, которым можно «скормить» вредоносный URL для обработки: социальные сети, поисковые системы, файлохостинги и прочие.

Для проверки на наличие уязвимости «обратный Heartbleed» можно воспользоваться сервисом генерации вредоносных ссылок https://ReverseHeartbleed.com.