Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL.

 

Heartbleed-Refresh

  • Recursos afectados:

Openssl.

La vulnerabilidad afecta a OpenSSL, versiones 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1. y 1.0.2-beta.
Sistemas operativos y servicios

  • Cualquier producto que haga uso de las mencionadas versiones de OpenSSL está, por lo tanto afectado. Si su sistema utiliza Openssl puede determinar la versión ejecutando el comando: “openssl version -a”.
  • En general los sistemas Linux utilizan OpenSSL y por ello pueden estar afectados. Compruébese la version utilizada e información del fabricante. Productos Microsoft y Apple que no utilicen software de terceros no resultan, en principio, afectados.

Sistemas de telefonía VoIP, puntos de venta y sistemas SCADA de control industrial.

Es posible que estos productos utilicen OpenSSL para su función. Compruébese la información proporcionada por el fabricante correspondiente.

Datos, cuentas y otros servicios.
Como efecto colateral, información privada almacenada en sistemas vulnerables de internet puede haberse visto expuesta, entre ellos servicios de correo electrónico, almacenamiento online, redes sociales, etc. Puede consultarse un listado aproximado en el siguiente enlace:

Sitios afectados.

 

  • Paso 1. Alcance e Impacto.

OpenSSL es un producto ampliamente extendido y utilizado por multitud de servicios y aplicaciones.
En primer lugar es necesario identificar los posibles sistemas y servicios afectados, y su grado de compromiso. Consulte la sección: “Recursos Afectados”. Si su sistema es vulnerable, evalúe la importancia de los servicios, el grado de exposición de los mismos y la información comprometida para aplicar las medidas recomendadas a continuación.
Si usted tiene contratados los servicios y su administración o mantenimiento con un tercero, póngase en contacto con su proveedor para solicitar la adopción de las medidas correctoras necesarias en su caso.

 

  • Paso 2. Medidas y mitigación

Actualización de OpenSSL: Aplicar la actualización disponible de OpenSSL a versión 1.0.1g para la release 1.0.1. La release 1.0.2-beta será corregida con la actualización 1.0.2-beta2.
Si no fuese posible ejecutar la actualización, puede deshabilitar la funcionalidad HEARTBEAT, lo que conlleva recompilar los fuentes de OpenSSL con la opción ” -OPENSSL_NO_HEARTBEATS”.
En sistemas Linux es recomendable la actualización a través de las herramientas de actualización del sistema: apt-get update (debian/ubuntu), yum update (RedHat, Fedora,CentOS) y otros manejadores de paquetes para otras distribuciones.
Puede comprobarse la actualización de la versión tras el reinicio, ejecutando el comando: “openssl version -a”.
Reinicio de servicios afectados: Reiniciar los servicios afectados que hagan uso de OpenSSL. Entre ellos se encuentran:
Servicios Web (Apache, Nginx, lighthttpd..)
Servicios de correo electrónico (sendmail, postfix, qmail..)
Servicios de base de datos (mysql, postgres, mariadb..)

 

  • Paso 3. Medidas adicionales. En función de la exposición de los servicios y la sensibilidad de los datos, deben aplicarse las siguientes medidas:

Revocar los certificados SSL expuestos y generar nuevos: Desde la publicación de la vulnerabilidad, hasta la aplicación del parche es posible que un atacante haya podido obtener datos importantes, como la clave privada de los certificados SSL de un sitio. Ello posibilita la suplantación del sitio y compromiso de información privada.
Para revocar un certificado OpenSSL y generar uno nuevo pueden utilizarse las instrucciones y comandos proporcionados por el producto. Estas operaciones sobre certificados y otras necesarias como la generación de claves se encuentran descritas en la documentación oficial de OpenSSL: http://www.openssl.org/docs/apps/ca.html. Recuérdese que es importante generar una nueva clave privada para la renovación de los certificados. Consúltese también sección “Enlaces” para ampliar información y ayuda.
Reseteo de contraseñas: Renovar todas las contraseñas del sistema operativo y de los usuarios que hagan uso de los servicios afectados.

Detalle.

Las versiones de OpenSSL 1.0.1 hasta 1.0.1f tienen un defecto en su implementación de la funcionalidad heartbeat TLS/DTLS (RFC6520).

Esta vulnerabilidad permite a un atacante recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Los servicios afectados pueden filtar información que incluye certificados digitales, credenciales(usuario/contraseñas) y otros contenidos protegidos. Además, el acceso a contenidos y posiciones de memoria protegidos puede utilizarse para evitar protecciones contra exploits.

El uso de la información extraída por la explotación de esta vulnerabilidad, como por ejemplo, el certificado del servidor, permitiría a un atacante descifrar tráfico o realizar ataques man in the middle en comunicaciones cifradas con OpenSSL.

Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.

 

Fu3nt3-0r1g1n4l.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s