PoCs para explotar masivamente la vulnerabilidad Heartbleed (OpenSSL CVE-2014-0160)

Un fallo en la implementación de Heartbeat, una funcionalidad añadida a TLS/DTLS para refrescar una sesión segura sin necesidad de renegociar, permite leer partes de la memoria del proceso hasta 64kB. ¿Qué significa ésto? que cualquier persona en cualquier lugar del mundo y sin dejar casi huella puede obtener las sesiones de cualquier usuario autenticado en un servidor que corra OpenSSL 1.0.1 o posterior (hasta 1.0.1g), es decir, millones de servidores a los que accedemos mediante HTTPS son vulnerables.

Por eso la vulnerabilidad CVE-2014-0160 bautizada como Heartbleed (corazón sangrante) es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha.

Para solucionarlo las opciones son deshabilitar el soporte de Heartbeat (-DOPENSSL_NO_HEARTBEATS), actualizar OpenSSL y regenerar claves. ¿Cuándo? Pues debería ser inmediatamente porque ya están apareciendo algunos PoC que facilitan su explotación de forma masiva...

Si no te lo crees, echa un vistazo a esta entrada de Casey Johnellis con una muestra imponente de ello:

• http://filippo.io/Heartbleed/ (un test online para comprobar si se es vulnerable Heartbleed) y https://github.com/FiloSottile/Heartbleed
  
• http://pastebin.com/WmxzjkXJ (ssltest.py)
• https://www.ssllabs.com/ssltest/index.html (un test online para comprobar si se es vulnerable Heartblee)
• https://github.com/rapid7/metasploit-framework/pull/3206/files (módulo Metasploit)
• https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse (Nmap NSE script)
• https://github.com/titanous/heartbleeder?files=1  (POC en Go)
• https://github.com/mothran/tlslite/tree/master/scripts
• https://gist.github.com/rcvalle/10223042 (Una versión en C de @rcvalle)
• https://bitbucket.org/fb1h2s/cve-2014-0160/src (Escáner en python) y http://www.garage4hackers.com/entry.php?b=2551 (Writeup)
• https://gist.github.com/RealRancor/10140249 (Otro Nmap NSE script)
• https://www.nth-dimension.org.uk/pub/s_client-vs-cve-2014-0160.diff.txt (Parche que permite la explotación usando el cliente OpenSSL)
• https://gist.github.com/anantshri/10238615 (Modificado para facilitar la lectura)
• http://1337day.com/exploit/22114 (Exploit POC)
• https://play.google.com/store/apps/details?id=com.bblabs.heartbleedscanner (test para móviles)
• https://github.com/HackerFantastic/Public/blob/master/exploits/heartbleed.c (Exploit POC)
• https://github.com/sensepost/heartbleed-poc (Exploit POC)
• https://gist.github.com/eelsivart/10174134 (Mejora de ssltest.py)
• http://www.tenable.com/plugins/index.php?view=single&id=73404 (Plugin NASL oficial de Tenable)
• https://chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic (plugin Chrome de Filippo Valsorda)
• https://nextsuite.websecurify.com/apps/heartbleed/  (comprueba múltiples objetivos)
• https://lastpass.com/heartbleed/ (Prueba de exposición con características adicionales para los usuarios de LastPass)
• https://github.com/Lekensteyn/pacemaker (Explota clientes OpenSSL. Compatible con Python 2 y 3.)