Een aanvaller is door het lek in OpenSSL doorgedrongen tot het VPN van een klant van het Amerikaanse beveiligingsbedrijf Mandiant, dat de hack onderzoekt. De hacker kreeg toegang tot het VPN waarmee medewekers op afstand het interne bedrijfsnetwerk benaderden, schrijft Mandiant.

Sessietokens

De persoon stuurde op 8 april in hoog tempo 17 duizend verzoeken naar de https-server die met de lekke versie van OpenSSL werkte. De aanvaller speurde in het geheugen naar actieve sessietokens van bezoekers. Daarmee zou hij sessies hebben overgenomen en kon hij de 2-stapsverificatie en de VPN-controle omzeilen. De organisatie die het slachtoffer werd wordt niet genoemd.

VPN-logs checken

De aanvaller probeerde ook zijn rechten te verhogen en toegang tot andere systemen te krijgen. De hack werd ontdekt bij controle van VPN-logs. Mandiant raadt organisaties aan daar goed naar te kijken. Gevallen waarbij het ip-adres van een sessie ineens wisselt, zijn verdacht, vooral als de locaties van die ip-adressen erg verschillen.

OpenVPN ook kwetsbaar

De bekende VPN-oplossing OpenVPN is ook kwetsbaar voor aanvallen via de Heartbleed-bug. In de SSL/TLS-modus worden er certificaten gebruikt voor het authenticeren van gebruikers en daardoor gebruikt OpenVPN standaard OpenSSL, waar het lek in is gevonden. Beveiligingsonderzoeker Fredrik Stromberg van Mullvad slaagde er in met een exploit een priv├ęsleutel van een certificaat te stelen.

De aanvalscode geeft hij vanwege de ernst niet vrij, schrijft PC World. Alle certificaten van een kwetsbare OpenVPN-versie zouden moeten worden vervangen.