Blog de Seguridad Informática

Vulnerabilidad Heartbleed

Una vulnerabilidad seria se ha detectado que afecta alrededor del 17% del sitios web que usan certificados SSL de Autoridades Certificadoras de confianza, entre ellos Symantec.

La vulnerabilidad se debe a un bug en el código Opensource principalmente en las plataformas Apache y nginx, y en específico en el componente OpenSSL.  Esta vulnerabilidad, llamado Heartbleed, permite que un atacante (hacker) extraiga información hallada en la memoria buffer, de 64 kilobytes de las revisiones de conectividad de sesión OpenSSL TLS (SSL) llamado “heartbeat.”  En teoría esto permitiría a un atacante interceptar las llaves de sesión TLS y posiblemente la llave privada SSL, sin ser detectados.  Además, teóricamente, al obtener la llave privada del buffer, el atacante podría clonar la página https, lo cual distingue a Heartbleed como una vulnerabilidad crítica.

Iteramos que esta vulnerabilidad es específico a la plataforma web y no su certificado SSL, aunque el certificado puede verse afectado.  La gran mayoría de servidores Microsoft IIS, por ejemplo, están protegidos contra esta vulnerabilidad por no usar OpenSSL.  Si existe la posibilidad que se haya explotado la vulnerabilidad, debe reemplazar su certificado SSL lo antes posible.

Abajo delineamos unos pasos para responder a esta amenaza de una forma constructiva:

1. ¿Qué hago?

Primero que todo, respiren, y revisen qué tipo de plataforma usan para hospedar su sitio https.  Si su plataforma es Apache o nginx entonces revisen qué versión han estado usando de OpenSSL.  Es importante notar que la vulnerabilidad existe desde enero 1, 2011.  Las versiones vulnerables de OpenSSL son las siguientes están abajo.  Si no usan OpenSSL, no tienen que hacer nada.

2. ¿Qué versiones de OpenSSL son afectadas?

La vulnerabilidad Hearbleed se introdujo en OpenSSL 1.0.1 y se encuentra en las siguientes versiones:

  • 1.0.1
  • 1.0.1a
  • 1.0.1b
  • 1.0.1c
  • 1.0.1d
  • 1.0.1e
  • 1.0.1f

El bug no está presente en la versión 1.0.1g ni en las versiones 1.0.0 (y todas las derivadas) ni en la 0.9.8.  Parece también (aún sin confirmar) que 1.0.2-beta se vio afectado, aunque entendemos es poco probable que tengan un OpenSSL beta corriendo en producción.

Para ayuda contactar a soporte@certsuperior.com o al 01 800 877 8737 o búscanos en chat en www.certsuperior.com.

3.  ¿Cómo actualizo mi versión de OpenSSL?

Esto depende de cada plataforma, pero para MySQL puede verse algo así:

Encuentra tu versión vía tu administrador de paquetes así:

  • rpm -q openssl
  • dpkg-query -W openssl

Si vez que estás corriendo una versión vulnerable de OpenSSL, se requiere hacer una actualización:

  • update OpenSSL >= 1.0.1g

1)    1.0.1e-2+deb7u5 se reporta cómo se actualiza en debian,

2)    1.0.1e-16.el6_5.7 se reporta cómo se actualiza en RedHat y CentOS

3)    1.0.1e-37.66 changelogs.  Noten que esto se actualizó en Amazon AMI

  • shutdown mysqld
  • regenerar llaves y certificados SSL usados por mysql for TLS connections (importante contactar a soporte@certsuperior.com para revocar su certificado posiblemente vulnerado)
  • start mysqld

Para más información lean: heartbleed.com Redhat Bugzilla Mitre CVE filing Ubuntu Security Notice

En Certsuperior estamos listos para apoyarlos, esperando minimizar la severidad de esta amenaza.

Atentamente: soporte@certsuperior.com; Tel.: 01 800 877 8737; en chat en www.certsuperior.com.

 


Un pequeño porcentaje de Microsoft Web Servers soportan la extensión heartbeat TLS y pueden ser vulnerables a Heartbleed.  Estos probablemente sean servidores Linux que sirven como “reverse proxy frontends.”

Samuel Noriega Certsuperior

Samuel Noriega es un experto en tecnología y marketing digital. Síguelo en Google o en LinkedIn

Comentarios