CSIRT Panam\u00e1 Aviso 2014-01\u2013 Vulnerabilidad Heartbleed
\nFecha de publicaci\u00f3n: Abril 15, 2014
\nFecha de modificaci\u00f3n: Abril 15, 2014
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nGravedad: Alta
\nFuente: CSIRT Panam\u00e1<\/p>\n
Sistemas afectados<\/p>\n
1. Versiones de OpenSSL afectadas por Heartbleed:<\/p>\n
OpenSSL 1.0.1
\nOpen SSL 1.0.1a
\nOpenSSL 1.0.1b
\nOpenSSL 1.0.1c
\nOpenSSL 1.0.1d
\nOpenSSL 1.0.1e
\nOpenSSL 1.0.1f
\nOpenSSL 1.0.2-beta1<\/p>\n
2. Sistemas operativos vulnerables:<\/p>\n
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
\nUbuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
\nCentOS 6.5, OpenSSL 1.0.1e-15
\nFedora 18, OpenSSL 1.0.1e-4
\nOpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
\nFreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
\nNetBSD 5.0.2 (OpenSSL 1.0.1e)
\nOpenSUSE 12.2 (OpenSSL 1.0.1c)<\/p>\n
Resumen
\nEs una vulnerabilidad en la librer\u00eda del programa criptogr\u00e1fico OpenSSL que fue conocida a nivel p\u00fablico el 7 de abril de 2014. Fue introducida a OpenSSL en diciembre de 2011 y fue liberada al p\u00fablico el 14 de marzo de 2012 con la versi\u00f3n OpenSSL 1.0.1. El atacante, al explotar \u00e9sta debilidad, puede robar la informaci\u00f3n protegida por el cifrado SSL\/TLS, el cual provee servicio a aplicaciones como acceso al Internet, mensajer\u00eda instant\u00e1nea y algunas redes virtuales privadas (VPNs).<\/p>\n
I. Descripci\u00f3n
\n\u00bfPor qu\u00e9 el nombre?
\nEl error se encuentra en la implementaci\u00f3n de la extensi\u00f3n Heartbeat (latido de coraz\u00f3n) del TLS\/DTLS (protocolos de capas de seguridad de transporte, por sus siglas en ingl\u00e9s). Cuando el error es explotado resulta en el \u201cderrame\u201d de contenidos de la memoria del servidor-cliente y del cliente-servidor.<\/p>\n
\u00bfPor qu\u00e9 es peligrosa la vulnerabilidad Heartbleed?
\nAl tener acceso al contenido de la memoria de un servidor web, los atacantes pueden tener acceso a informaci\u00f3n sensitiva, incluyendo la llave privada del servidor. Esto puede permitir a los atacantes a descifrar comunicaciones espiadas (monitoreadas y grabadas) con anterioridad si el protocolo de cifrado usado no asegura PFS (Perfect Forward Secrecy). Tener conocimiento de la llave privada permite a un atacante realizar un ataque del Hombre del medio (MitM attack) contra comunicaciones futuras. La vulnerabilidad tambi\u00e9n puede revelar partes no cifradas de informaci\u00f3n sensitiva de los usuarios, como lo son las cookies de sesi\u00f3n y las contrase\u00f1as, lo que permitir\u00eda a los atacantes robar la identidad de los mismos. La explotaci\u00f3n de esta vulnerabilidad no deja rastros ni informaci\u00f3n anormal en los registros.<\/p>\n
II. Impacto
\nInformaci\u00f3n sensitiva que puede ser obtenida a trav\u00e9s de la vulnerabilidad:
\nLlave primaria (llaves secretas)
\nLlave secundaria (nombres de usuario y contrase\u00f1as usadas por servicios vulnerables)
\nContenido protegido (datos usados en servicios vulnerables)
\nColateral (direcciones de memoria y contenido que puede ser usado para sobrepasar-bypass mitigaciones)<\/p>\n
IV. Recomendaciones:
\nInstalar OpenSSL 1.0.1g o versiones nuevas.
\nEn caso de no poder actualizar la versi\u00f3n los usuarios pueden recompilar los binarios y bibliotecas de OpenSSL con la opci\u00f3n -DOPENSSL_NO_HEARTBEATS.
\nUna vez aplicada la actualizaci\u00f3n\/parche se deben generar e instalar nuevas llaves de cifrado. Todas las llaves utilizadas antes de la actualizaci\u00f3n\/parche se deben considerar comprometidas.
\nAdicional a la actualizaci\u00f3n\/parche se recomienda implementar PFS (Perfect Forward Secrecy).<\/p>\n
V. Referencia a Soluciones, Herramientas e Informaci\u00f3n<\/p>\n
VI. Informaci\u00f3n de Contacto<\/p>\n
CSIRT PANAMA
\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental
\nE-Mail: info@cert.pa
\nWeb: https:\/\/www.cert.pa<\/p>\n
—–BEGIN PGP PUBLIC KEY BLOCK—–
\nVersion: GnuPG v2.0.17 (MingW32)<\/p>\n
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn\/QIEG1+TLokEuOhw+
\nGq\/lK\/4NP9RzqpD57LcRUBiGgTmO\/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
\npbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO\/TuD52DH
\nKRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
\n4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
\npqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
\nQ1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
\nCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR\/YX2
\nH3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU\/uzi9LWnEcDscfFVKM\/K0Jt
\nbjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV\/LWag1yYTj5w
\nkkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b\/WkAJg5FIg
\nU0MpPqUGAF5\/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
\n1XJIexpmkBYTxc+TOclhAp\/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn\/AB707JzN
\nQ80++q2kWQ==
\n=JUYg
\n—–END PGP PUBLIC KEY BLOCK—–<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2014-01\u2013 Vulnerabilidad Heartbleed Fecha de publicaci\u00f3n: Abril 15, 2014 Fecha de modificaci\u00f3n: Abril 15, 2014 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Gravedad: Alta Fuente: CSIRT Panam\u00e1 Sistemas afectados 1. Versiones de OpenSSL afectadas por…<\/p>\n","protected":false},"author":4,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,17],"class_list":["post-302","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-heartbleed"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=302"}],"version-history":[{"count":4,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/302\/revisions"}],"predecessor-version":[{"id":342,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/302\/revisions\/342"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}