CSIRT Panamá Aviso 2014-01– Vulnerabilidad Heartbleed
Fecha de publicación: Abril 15, 2014
Fecha de modificación: Abril 15, 2014
Última revisión: Revisión A.
Gravedad: Alta
Fuente: CSIRT Panamá
Sistemas afectados
1. Versiones de OpenSSL afectadas por Heartbleed:
OpenSSL 1.0.1
Open SSL 1.0.1a
OpenSSL 1.0.1b
OpenSSL 1.0.1c
OpenSSL 1.0.1d
OpenSSL 1.0.1e
OpenSSL 1.0.1f
OpenSSL 1.0.2-beta1
2. Sistemas operativos vulnerables:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Resumen
Es una vulnerabilidad en la librería del programa criptográfico OpenSSL que fue conocida a nivel público el 7 de abril de 2014. Fue introducida a OpenSSL en diciembre de 2011 y fue liberada al público el 14 de marzo de 2012 con la versión OpenSSL 1.0.1. El atacante, al explotar ésta debilidad, puede robar la información protegida por el cifrado SSL/TLS, el cual provee servicio a aplicaciones como acceso al Internet, mensajería instantánea y algunas redes virtuales privadas (VPNs).
I. Descripción
¿Por qué el nombre?
El error se encuentra en la implementación de la extensión Heartbeat (latido de corazón) del TLS/DTLS (protocolos de capas de seguridad de transporte, por sus siglas en inglés). Cuando el error es explotado resulta en el “derrame” de contenidos de la memoria del servidor-cliente y del cliente-servidor.
¿Por qué es peligrosa la vulnerabilidad Heartbleed?
Al tener acceso al contenido de la memoria de un servidor web, los atacantes pueden tener acceso a información sensitiva, incluyendo la llave privada del servidor. Esto puede permitir a los atacantes a descifrar comunicaciones espiadas (monitoreadas y grabadas) con anterioridad si el protocolo de cifrado usado no asegura PFS (Perfect Forward Secrecy). Tener conocimiento de la llave privada permite a un atacante realizar un ataque del Hombre del medio (MitM attack) contra comunicaciones futuras. La vulnerabilidad también puede revelar partes no cifradas de información sensitiva de los usuarios, como lo son las cookies de sesión y las contraseñas, lo que permitiría a los atacantes robar la identidad de los mismos. La explotación de esta vulnerabilidad no deja rastros ni información anormal en los registros.
II. Impacto
Información sensitiva que puede ser obtenida a través de la vulnerabilidad:
Llave primaria (llaves secretas)
Llave secundaria (nombres de usuario y contraseñas usadas por servicios vulnerables)
Contenido protegido (datos usados en servicios vulnerables)
Colateral (direcciones de memoria y contenido que puede ser usado para sobrepasar-bypass mitigaciones)
IV. Recomendaciones:
Instalar OpenSSL 1.0.1g o versiones nuevas.
En caso de no poder actualizar la versión los usuarios pueden recompilar los binarios y bibliotecas de OpenSSL con la opción -DOPENSSL_NO_HEARTBEATS.
Una vez aplicada la actualización/parche se deben generar e instalar nuevas llaves de cifrado. Todas las llaves utilizadas antes de la actualización/parche se deben considerar comprometidas.
Adicional a la actualización/parche se recomienda implementar PFS (Perfect Forward Secrecy).
V. Referencia a Soluciones, Herramientas e Información
- http://heartbleed.filippo.io/
- http://foxitsecurity.files.wordpress.com/2014/04/fox_heartbleedtest.zip
- http://www.csoonline.com/article/2142700/vulnerabilities/heartbleed-cve-2014-0160-an-overview-of-the-problem-and-the-resources-needed-to.html
VI. Información de Contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–