Teror Heartbleed tak cuma terhadap situs web publik yang rentan. Bug ini sejatinya memberikan dampak lebih besar dari itu.
Menurut Symantec, Heartbleed memberikan dampak yang sama kepada software klien di antara kepada web klien, email klien, chat klien, FTP klien, aplikasi mobile, VPN klien dan pengupdate software.
Singkatnya, setiap klien yang berkomunikasi melalui SSL/TLS menggunakan versi rentan OpenSSL terbuka terhadap serangan.
Selain itu, Heartbleed mempengaruhi berbagai server lain selain server web. Ini termasuk proxy, server media, server game, server database, server chat dan server FTP.
"Pada akhirnya, perangkat hardware tidak kebal terhadap kerentanan. Hal ini dapat mempengaruhi router, PBX ( sistem telepon bisnis ) dan kemungkinan beberapa perangkat di Internet of Things," lanjut Symantec, dalam keterangannya.
Menyerang server software dan hardware tersebut melalui kerentanan Heartbleed dilakukan dengan cara yang sama sebagai serangan ke situs-situs yang rentan. Namun serangan terhadap klien dapat terjadi dengan cara terbalik.
Biasanya, imbuh perusahaan keamanan internet tersebut, eksploitasi Heartbleed telah digambarkan sebagai penyerangan klien dengan mengirim pesan berbahaya ke server yang rentan dan server tersebut mengekspos data pribadi.
Namun kebalikannya juga benar. Satu klien yang rentan dapat terhubung ke server, dan server itu sendiri dapat mengirim pesan Heartbleed berbahaya ke klien tersebut. Klien kemudian akan merespons dengan data tambahan yang ditemukan dalam memori, yang berpotensi mengekspos kredensial dan data pribadi lainnya.
Untungnya, saat klien sedang rentan, kemungkinan sulit untuk mengeksploitasi mereka dalam situasi sesungguhnya. Dua vektor utama serangan memerintahkan klien untuk mengunjungi server SSL/TLS yang berbahaya atau membajak koneksi melalui kelemahan yang tidak ada kaitannya. Keduanya memberikan komplikasi tambahan untuk penyerang.
Mengarahkan Klien ke Server Berbahaya
Menurut Symantec, contoh paling sederhana tentang bagaimana klien mungkin tereksploitasi adalah seperti web browser yang rentan. Hanya perlu meyakinkan korban untuk mengunjungi URL berbahaya agar server penyerang bisa mendapatkan akses ke memori browser Web klien. Hal ini memberikan risiko kepada konten seperti di sesi cookies sebelumnya, website yang dikunjungi, form data dan kredensial otentifikasi.
"Kebanyakan dari web browser populer tidak menggunakan OpenSSL, tapi NSS libraries (Network Security Services), yang tidak rentan terhadap Heartbleed . Namun, banyak klien web baris perintah menggunakan OpenSSL (misalnya wget & curl) dan rentan," kata Symantec.
Kebutuhan penyerang untuk mengelabui pengguna agar mengunjungi sebuah situs berbahaya mungkin dapat mengurangi beberapa risiko, tetapi ini tidak harus.
"Bayangkan layanan terjemahan bahasa online dimana Anda memberikan layanan otomatis dengan URL ke halaman dalam bahasa Perancis dan layanan tersebut akan menerjemahkan konten ke dalam bahasa Inggris," tambahnya.
Di belakang layar, layanan ini mengambil isi dari halaman berbahasa Perancis tersebut menggunakan klien backend mereka sendiri.
"Jika Anda memberikan URL server berbahaya, klien backend ini dapat diekploitasi dan penyerang dapat mengambil informasi-informasi penting seperti kode atau kredensial dari layanan penerjemahan tersebut," Symantec menjelaskan.
Membajak Koneksi
Menurut Symantec, mengarahkan klien ke server berbahaya seperti yang diungkapkan di atas mengharuskan klien diarahkan untuk mengunjungi server acak. Namun banyak klien hanya dapat menghubungi preset, hardcoded domain.
Dalam kasus ini, klien masih dapat dieksploitasi. Pada jaringan bersama terbuka seperti jaringan WiFi publik, trafik dapat terlihat dan diubah oleh orang lain, yang memungkinkan penyerang untuk mengarahkan kembali klien yang rentan.
Biasanya, SSL/TLS (misalnya HTTPS, web browsing terenkripsi) adalah salah satu solusi untuk masalah ini, karena enkripsi mencegah penyadapan dan pengarahan kembali. Namun, seseorang dapat mengirim pesan Heartbleed berbahaya sebelum sesi SSL/TLS sepenuhnya terbentuk.
Seorang penyerang dapat bergabung dengan jaringan publik dan menyadap calon korban. Ketika calon korban menggunakan klien yang rentan untuk membentuk koneksi SSL/TLS dengan server yang sah, penyerang kemudian mengarahkan kembali koneksi ke server yang berbahaya.
Sebelum koneksi SSL/TLS sepenuhnya terbentuk dan memiliki kesempatan untuk memblokir setiap pengarahan kembali, penyerang dapat mengirim pesan Heartbleed berbahaya untuk mengekstraksi konten dari memori komputer korban. Hal ini bisa meliputi data pribadi seperti kredensial otentifikasi.