Inicio / Alerta Temprana / Avisos Sci / Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL. (ACTUALIZADO)

Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL. (ACTUALIZADO)

Fecha de publicación: 
08/04/2014
Importancia: 
5 - Crítica
Recursos afectados: 

Openssl

La vulnerabilidad afecta a OpenSSL, versiones 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1. y 1.0.2-beta.

Sistemas operativos y servicios

  • Cualquier producto que haga uso de las mencionadas versiones de OpenSSL está, por lo tanto afectado. Si su sistema utiliza Openssl puede determinar la versión ejecutando el comando: "openssl version -a".
  • En general los sistemas Linux utilizan OpenSSL y por ello pueden estar afectados. Compruebe la version utilizada e información del fabricante. Productos Microsoft y Apple que no utilicen software de terceros no resultan, en principio, afectados.
  • Una lista aproximada de servicios afectados puede consultarse en OpenSSL heartbeat information disclosure

Sistemas de telefonía VoIP, puntos de venta y sistemas SCADA de control industrial

Es posible que estos productos utilicen OpenSSL para su función. Compruebe la información proporcionada por el fabricante correspondiente.

Datos, cuentas y otros servicios

Como efecto colateral, información privada almacenada en sistemas vulnerables de internet puede haberse visto expuesta, entre ellos servicios de correo electrónico, almacenamiento online, redes sociales, etc. Puede consultarse un listado aproximado en el siguiente enlace: Sitios afectados.

Descripción: 

OpenSSL ha anunciado una grave vulnerabilidad cuya explotación permite revelar contenidos de memoria de aplicaciones que hagan uso de OpenSSL.

Solución: 

Paso 1. Alcance e Impacto

OpenSSL es un producto ampliamente extendido y utilizado por multitud de servicios y aplicaciones.
En primer lugar es necesario identificar los posibles sistemas y servicios afectados, y su grado de compromiso. Consulte la sección: "Recursos Afectados". Si su sistema es vulnerable, evalúe la importancia de los servicios, el grado de exposición de los mismos y la información comprometida para aplicar las medidas recomendadas a continuación.
Si usted tiene contratados los servicios y su administración o mantenimiento con un tercero, póngase en contacto con su proveedor para solicitar la adopción de las medidas correctoras necesarias en su caso.

Paso 2. Medidas y mitigación

  • Actualización de OpenSSL: Aplicar la actualización disponible de OpenSSL a versión 1.0.1g para la release 1.0.1. La release 1.0.2-beta será corregida con la actualización 1.0.2-beta2.
    Si no fuese posible ejecutar la actualización, puede deshabilitar la funcionalidad HEARTBEAT, lo que conlleva recompilar los fuentes de OpenSSL con la opción " -OPENSSL_NO_HEARTBEATS".
    En sistemas Linux es recomendable la actualización a través de las herramientas de actualización del sistema: apt-get update (debian/Ubuntu), yum update (RedHat, Fedora,CentOS) y otros manejadores de paquetes para otras distribuciones.
    Puede comprobarse la actualización de la versión tras el reinicio, ejecutando el comando: "openssl version -a".
  • Reinicio de servicios afectados: Reiniciar los servicios afectados que hagan uso de OpenSSL. Entre ellos se encuentran:
    • Servicios Web (Apache, Nginx, lighthttpd..)
    • Servicios de correo electrónico (sendmail, postfix, qmail..)
    • Servicios de base de datos (mysql, postgres, mariadb..)

Paso 3. Medidas adicionales. En función de la exposición de los servicios y la sensibilidad de los datos, deben aplicarse las siguientes medidas:

  • Revocar los certificados SSL expuestos y generar nuevos: Desde la publicación de la vulnerabilidad, hasta la aplicación del parche es posible que un atacante haya podido obtener datos importantes, como la clave privada de los certificados SSL de un sitio. Ello posibilita la suplantación del sitio y compromiso de información privada.
    Para revocar un certificado OpenSSL y generar uno nuevo pueden utilizarse las instrucciones y comandos proporcionados por el producto. Estas operaciones sobre certificados y otras necesarias como la generación de claves se encuentran descritas en la documentación oficial de OpenSSL: http://www.openssl.org/docs/apps/ca.html. Recuérdese que es importante generar una nueva clave privada para la renovación de los certificados. Consúltese también sección "Enlaces" para ampliar información y ayuda.
  • Reseteo de contraseñas: Renovar todas las contraseñas del sistema operativo y de los usuarios que hagan uso de los servicios afectados.
Detalle: 

Las versiones de OpenSSL 1.0.1 hasta 1.0.1f tienen un defecto en su implementación de la funcionalidad heartbeat TLS/DTLS (RFC6520).

Esta vulnerabilidad permite a un atacante recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Los servicios afectados pueden filtrar información que incluye certificados digitales, credenciales(usuario/contraseñas) y otros contenidos protegidos. Además, el acceso a contenidos y posiciones de memoria protegidos puede utilizarse para evitar protecciones contra exploits.

El uso de la información extraída por la explotación de esta vulnerabilidad, como por ejemplo, el certificado del servidor, permitiría a un atacante descifrar tráfico o realizar ataques man in the middle en comunicaciones cifradas con OpenSSL.

Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.

Referencias: 
HeartBleed Bug
OpenSSL Security Advisory
OpenSSL TLS Heartbeat extension read overflow discloses sensitive information
Heartbleed. Web sites affected
IBM. Security Intelligence blog. How to protect against Hearbleed
Etiquetas: 
Actualización
Vulnerabilidad