Inicio / Blog / Logjam y otras vulnerabilidades en dominios españoles

Logjam y otras vulnerabilidades en dominios españoles

Publicado el 11/08/2015, por Santiago González (INCIBE)
Logjam

Tras conocer durante 2014 y el primer trimestre de 2015 vulnerabilidades asociadas de una forma u otra al protocolo SSL/TLS (Heartbleed, Poodle, WinShock y Freak), a mediados del pasado mes de mayo se ha publicado "Logjam", una nueva vulnerabilidad que afecta a la seguridad de las comunicaciones en Internet.

Algunos avisos de seguridad publicados por el CERT de Seguridad e Industria informaban en su momento del descubrimiento de este fallo de seguridad y posibles medidas de mitigación:

Logjam (código de vulnerabilidad CVE-2015-4000) se refiere a un ataque de tipo man-in-the-middle que permite a un atacante degradar la fortaleza de las claves de cifrado utilizadas en el algoritmo Diffie-Hellman usado por TLS, de forma que las comunicaciones puedan ser descifradas con relativa facilidad con equipos modernos.

El riesgo se ve incrementado por el hecho de que la gran mayoría de sistemas utilizan los mismos números primos para realizar los cálculos asociados al intercambio de claves, por lo que si se consigue realizar el ataque contra los más utilizados se tiene acceso de forma prácticamente inmediata a multitud de servidores.

En este sentido, si se utiliza Diffie-Hellman con claves de 512 bits para cifrar las comunicaciones, éstas podrían ser descifradas por cualquier atacante. Además, los investigadores que han dado a conocer esta vulnerabilidad estiman que un equipo académico con acceso a hardware de una universidad podría descifrar claves de 712 bits y un atacante con acceso a más recursos (como una nación) podría llegar a romper claves de cifrado de 1024 bits en tiempos razonables.

Aunque en su naturaleza Logjam es un ataque similar a Freak, en este caso el problema se debe a un fallo en el propio protocolo TLS y no en implementaciones concretas del mismo, por lo que prácticamente todos los sistemas podrían ser potencialmente vulnerables hasta ser parcheados.

Por otra parte, esta nueva vulnerabilidad ha provocado incluso que OpenSSL Project, la entidad responsable de una de las implementaciones más utilizadas actualmente, haya comenzado a revisar las opciones establecidas por defecto con el objetivo de hacer uso de cifrados más resistentes.

En lo que se refiere a los clientes, la mayoría de fabricantes de navegadores web han facilitado actualizaciones que solucionan esta vulnerabilidad, pero para conocer el impacto potencial en los servidores españoles es interesante conocer el grado de exposición de las páginas web de dominios .es a esta vulnerabilidad, así como actualizar los datos de las otras vulnerabilidades relacionadas con SSL. Los resultados de este análisis se muestran a continuación.

Grado de exposición de webs de dominios españoles

 

Tras añadir Logjam y otras verificaciones de seguridad asociadas a los procesos de comprobación de vulnerabilidades SSL, el análisis estadístico realizado sobre los dominios .es registrados arroja la siguiente información global:

- Índice de afectación de webs españolas a vulnerabilidades SSL/TLS. Fuente: INCIBE -

Entre las webs que utilizan SSL, se observa un alto índice de afectación (más del 75%) a alguna de las vulnerabilidades mencionadas, debido fundamentalmente a la aparición de Logjam.

En concreto, si se analiza de forma específica el índice de afectación de las webs que usan SSL a cada una de las vulnerabilidades, queda patente que un porcentaje bastante alto se ven afectadas por Logjam a pesar de haber transcurrido dos meses desde su publicación, mientras que el resto de vulnerabilidades tienen un índice de afectación inferior al 5%:

- Porcentaje de webs con SSL afectadas por cada vulnerabilidad-. Fuente: INCIBE-

Además de conocer los valores actuales, también es interesante observar la evolución de las otras vulnerabilidades analizadas anteriormente. Si se considera la totalidad de las webs analizadas (es decir, incluyendo aquellas que no usan SSL y que, por tanto, no se ven afectadas por estas vulnerabilidades), los índices de afectación globales son los siguientes:

- Evolución de porcentaje de afectación de webs españolas a cada vulnerabilidad -

Además del elevado porcentaje de Logjam ya comentado anteriormente, en lo que se refiere a la evolución de las otras vulnerabilidades analizadas se observa que en general el valor permanece estable, notándose un ligero aumento en el caso de Poodle y Freak.

Conclusiones

 

Tras la aparición de Logjam, se puede decir que en términos globales el índice de afectación en España para estas vulnerabilidades es medio (cerca del 23%).

En general, el porcentaje de webs afectadas a vulnerabilidades ya conocidas se mantiene más o menos estable, pero el índice de afectación a Logjam es bastante elevado en aquellas webs que utilizan SSL, a pesar de que ya se han publicado parches en varias implementaciones.

Como siempre, el CERT de Seguridad e Industria operado por INCIBE recomienda mantener actualizados los productos y aplicar buenas prácticas en la configuración de los sistemas, para evitar verse afectados por estas vulnerabilidades y otras que puedan aparecer en el futuro.