Seria vulnerabilidad en biblioteca OpenSSL #Heartbleed compromete muchos servicios #0

abril 9th, 2014 | Posted by kwelladm in Alertas

¿Mi servidor es vulnerable?

Para sacarse las dudas: CONTACTENOS EN FORMA INMEDIATA a soporte@kwell.net

En las últimas horas se han disparado las alertas por las implicancias de seguridad que provoca una vulnerabilidad que tiene tenía la librería criptografica OpenSSL, apodada #Heartbleed. Esta vulnerabilidad ha sido descubierta por Neel Mehta del equipo de Google Security, y el CVE reservado (CVE-2014-0160) fue creado el 3 de Diciembre de 2013:
El sitio web http://heartbleed.com/ creado a tal efecto por la empresa finesa Codenomicon defensic reune valiosa información respecto de esta vulnerabilidad.

El bug Heartbleed

El bug Heartbleed es una seria vulnerabilidad en la popular librería de software criptográfico OpenSSL. Esta debilidad permite robar información protegida, en condiciones normales, por el cifrado SSL/TLS utilizado para asegurar Internet. SSL/TLS proveen seguridad a las comunicaciones y privacidad en Internet para las aplicaciones como la web, correo electrónico, la mensajería instantánea y algunas redes privadas virtuales (VPNs).
El bug Heartbleed le permite a cualquiera en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves pprivadas usadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios y el contenido. Esto permite a los atacantes fisgonear las comunicaciones, robar datos directamente de los servicios y usuarios, y suplantar a los servicios y a los usuarios.

En la práctica ¿qué permite?

Hemos probado algunos de nuestros propios servicios desde la perpectiva del atacante. No atacamos a nosotros mismos desde el exterior, sin dejar rastros. Sin utilizar ninguna información privilegiada ni credenciales, fuimos capaces de robarnos las claves privadas usadas para nuestros certificados X.509, nombres de usuarios y contraseñas, mensajes instantáneos, correos electrónicos e información crítica de negocios y comunicaciones.

¿Cómo detener la fuga(de información)?

En tanto se use la versión vulnerable de OpenSSL, ésta puede ser abusada. La versión reparada de OpenSSL ha sido publicada y ahora debe ser instalada. Los proveedores y distribuidores de sistemas operativos, proveedores de appliances, proveedores de software independientes deben adoptar el arreglo y notificar a sus usuarios. Los proveedores de servicio y usuarios deben instalar el arreglo en cuanto esté disponible para sus sistemas operativos, equipos de red y software que utilicen.
Los profesionales de seguridad están alertando de las implicancias prácticas mencionando por ejemplo que muchos sitios web protegidos con SSL “esos con direcciones https://” padecen de esta vulnerabilidad. Indican que a los efectos prácticos uno debiera considerar que su usuario y contraseña ha sido comprometido.
También conexiones VPN que usen SSL, mensajería instantanea que utilicen la librería OpenSSL están afectados hasta tanto se actualice el software con la versión reparada de OpenSSL. Lo mismo dice que pasa con Tor:

Aunque más tarde anunciaron que fue reparado pero indican tomar medidas:

Otros ven tan grande el problema que proponen un cambio de vida:

Los sistemas operativos empiezan a anunciar las versiones reparadas:

Es mucha la información que se puede encontrar en Twitter y en http://heartbleed.com/ sobre esta vulnerabilidad y las soluciones que van llegando.

Comprobando un sitio web

Durante esta mañana se comprobaron varios sitios web bancarios, de tarjetas de crédito, de registro de dominio y algún otro de Argentina con estos resultados:

All good, wsec01.bancogalicia.com.ar seems not affected!
All good, www.pcbanking2g.hsbc.com.ar seems not affected!
www.bbvafrances.com.ar Uh-oh, something went wrong.
All good, inetserv.visa.com.ar seems not affected!
All good, global.americanexpress.com seems not affected!
All good, www1.masterconsultas.com.ar seems not affected!
All good, www.bancoprovincia.bancainternet.com.ar seems not affected!
All good, nic.ar seems not affected!
All good, webmail.ec.gba.gov.ar seems not affected!
All good, mecontuc.gov.ar seems not affected!

Una de las cuestiones que plantea esta vulnerabilidad es la necesidad de asegurarse que las claves privadas de los certificados SSL no hayan sido comprometidas. En ese caso si no se regenera el certificado, cabe la posibilidad que un atacante pueda continuar leyendo el trafico cifrado SSL, si hubiera obtenido las claves privadas mientras la vulnerabilidad estuvo activa.

Impacto tras explotación

La información que se podría obtener sería la siguiente:

Claves privadas
Usuarios y contraseñas utilizadas en servicios vulnerables
Información sensible utilizada por servicios vulnerables
Direcciones de memoria y su contenido que podría permitir evadir mecanismos de mitigación ante exploits.

¿Qué páginas se encuentran afectadas?

Unas cuantas… y muchas.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario Cancelar respuesta

Buscar
KWELL miembro de la EFF
Fuiste atacado por un ransomware o piensas que puedes serlo

No lo sabés? ¡Podemos decírtelo muy rápido y con precisión! Nuestros External Penetration Test son excelentes y te permitirán mitigar tus riesgos sin demoras. Escribinos desde la sección "Preguntanos"
Categorías
Categorías
Archivo mensual
Archivo mensual
Sitios de interés