Open Source, PCI DSS

PCI DSS – Avez vous la bonne version SSL pour éviter la faille heartbleed ?

by  • 

opensslSuite à l’installation de NMAP dans notre infrastructure PCI, J’ai décidé de faire un Scan sur la faille Heartbleed en particulier. Bien entendu les sondes type Qualys avaient déjà remontés l’information lors des scans trimestrielles mais on n’est jamais à l’abri d’un oubli sur un réseau de taille importante et multi-sites.

Je vous propose via une commande simple de savoir si vous êtes vulnérable ou non à cette faille. On va utiliser notre outil favori NMAP maintenant que l’on maitrise son installation.

Petit rappel sur la faille heartbleed, cette vulnérabilité a été découverte dans OpenSSL. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données. Cette alerte est remontée via le CERT-FR et le MITRE à la  Référence CVE-2014-0160 depuis le 8 Avril 2014. Elle est toujours d’actualité.

Pré-requis :

  • Disposer d’un composant NMAP supérieur à la version 6.1

La commande NMAP suivante permettant de détecter la vulnérabilité Heartbleed sur le réseau 10.0.16.0/24

root@smokeping:~/nmap-6.46# nmap -p 443 --script ssl-heartbleed 10.0.16.0/24

Le résultat ici démontre un host non vulnérable et un host vulnérable à l’attaque…il faut patcher 🙂

Nmap scan report for serveursecurise.net (10.0.16.40)
Host is up (0.00067s latency).
PORT    STATE  SERVICE
443/tcp closed https

Nmap scan report for serveuravecfailleOpenSSL.net (10.0.16.42)
Host is up (0.00067s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-heartbleed: 
|   VULNERABLE:
|   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected by SSL/TLS encryption.
|     State: VULNERABLE
|     Risk factor: High
|     Description:
|       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading memory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves.
|           
|     References:
|       http://www.openssl.org/news/secadv_20140407.txt 
|       http://cvedetails.com/cve/2014-0160/
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

Enjoy 🙂

Liens Externe pour en savoir plus sur HeartBleed