FlagJueves, 03 Diciembre 2020

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

logo cyberoamActualmente millones de contraseñas, números de tarjetas de crédito y otra información personal está en riesgo debido a la grave vulnerabilidad Heartbleed la cual se hospeda en la popular librería criptográfica OpenSSL. Esta debilidad permite robar la información protegida en condiciones normales, por el cifrado SSL / TLS que se utiliza para asegurar la Internet.

El cifrado SSL / TLS proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como Web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN). El bug Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido actual. Esto permite a los atacantes espiar las comunicaciones, robar los datos directamente de los servidores y de los usuarios y para suplantar a los servidores y los usuarios.

Versiones afectadas de OpenSSL

Las versiones afectadas de OpenSSL incluyen OpenSSL 1.0.1 a través de 1.0.1f (inclusive).
OpenSSL 1.0.1g, OpenSSL 1.0.0 remoto y OpenSSL 0.9.8 remoto no son vulnerables.

Programa Vulnerable: Los archivos de código fuente del programa vulnerables son t1_lib.c y dl_both.c

Función Vulnerable: Las funciones vulnerables son tls1_process_heartbeat () y dtls1_process_heartbeat ().

Mecanismo técnico:

Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que proporcionan seguridad, autenticación e integridad de datos para la comunicación a través de redes TCP / IP. Mediante el uso de criptografías primitivas tales como el sistemas de cifrado de clave simétrica, las funciones hash criptográficamente seguras y de infraestructura de clave pública para el cifrado asimétrico / descifrado y autenticación, estos protocolos que permiten a los hosts comunicarse de forma segura a través de redes inseguras.

El Datagram Transport Layer Security (DTLS) es muy similar al TLS, que se utiliza para la comunicación a través de la capa de transporte TCP; pero incluye, entre otras características, un mecanismo de retransmisión para hacer frente a la capa de transporte UDP no fiable.

TLS / DTLS son protocolos de capas. Todos los datos intercambiados entre los dos Endpoints están contenidas dentro de registros TLS / DTLS, la capa inferior del conjunto de protocolos.

Existe una vulnerabilidad de divulgación de información en OpenSSL. Las funciones vulnerables tls1_process_heartbeat() y dtls1_process_heartbeat() fallan para validar el valor de longitud del payload al procesar mensajes de solicitud de Heartbeat. Mientras se realiza la construcción de un mensaje de respuesta Heartbeat copia los bytes de longitud del payload a partir del payload dentro del búfer de respuesta. Si el payload siempre fue menor que los bytes de longitud del payload, memcpy () llenará el búfer de respuesta con el contenido de la memoria más allá del mensaje de solicitud de Heartbeat en la memoria del búfer.

Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad mediante el envío de varios mensajes elaborados de Heartbeat a la aplicación de destino. Una explotación exitosa podría resultar en hasta 64 KB de la divulgación de memoria.

¿Cómo se puede saber si un sitio Web se ve afectado por esta vulnerabilidad?
 
Existe una herramienta de la compañía Cyberoam, la cual se puede probar de forma gratuita para detectar si un servidor Web es vulnerable al ataque Heartbleed, la misma la pueden descargar desde www.cyberoam.com
 
Cabe señalar que la firma ha lanzado una estrategia puntual para proteger a sus clientes, y es que el equipo de Investigación de Cyberoam ha realizado un análisis acerca de Heartbleed. Las conclusiones han derivado en lo siguiente: esta vulnerabilidad no afecta a la última versión de los equipos GA de Cyberoam que incluyen 10,04 . X, 10.02.X y 10.01.X , ya que utilizan una versión protegida de OpenSSL. Las versiones de firmware 10.6.x se ven afectados por esta vulnerabilidad. Por favor, asegúrese de actualizar el dispositivo Cyberoam con la última versión del firmware para 10,6 i.e. 10.6.1 RC- 4.

Además, se han lanzado actualizaciones de IPS 3.11.61 y 5.11.61 dirigidas contra el exploit "Heartbleed" para todas las versiones de Cyberoam GA 10.6.x :

Nombre de la Firma (s): OpenSSL TLS DTLS Heartbeat Information Disclosure
Acción predeterminada: Drop

Usted puede comprobar / actualizar la versión de las firmas IPS a través de su interfaz de administración en la pestaña: System->Maintenance->Updates.

Los clientes de Cyberoam requieren aplicar la política IPS de Cyberoam en las respectivas reglas del firewall.

Cyberoam también ha publicado un aviso exclusivo del Exploit Heartbleed, disponible en www.protektnet.com

Adicional a esto, Cyberoam también recomienda a todos los usuarios no utilizar ninguna versión afectada de OpenSSL en sus aplicaciones tales como servicios Web, entre otros.