Una visita a la web securitybydefault nos alertó del ya famoso CVE 2014-0160 concerniente a las versiones de openssl 1.0.1 anteriores a la 1.0.1g. Esta vulnerabilidad se aprovecha de un error en la implementación de TLS y DTLS de las versiones mencionadas para permitir al atacante obtener información sensible de la memoria de procesamiento a través de un una serie de paquetes personalizados de tal forma que generan una sobrecarga en el buffer. Como consecuencia, es posible extraer información directamente de hasta 64 kB de memoria de un equipo sin dejar rastro utilizando esta vulnerabilidad
Información obtenible y posibles modos de explotación
Entre la información que se puede obtener mediante el uso de esta vulnerabilidad se encuentra la que, probablemente, sea la más relevante para un servidor: su clave privada. La obtención de la clave privada podría desembocar en un ataque man in the middle haciéndose pasar por el servidor de tal forma que se introduzcan datos críticos en el equipo atacante. Otros datos que se podrían obtener serían las cuentas de usuario y contraseñas que utilizan servicios vulnerados así como información crítica de los mismos.
Comprobar si los servidores están afectados y solución del problema
Para solucionar este error, la versión openssl 1.0.1g ha visto la luz y algunos sistemas operativos ya están ofreciendo la posibilidad de actualizar a la misma (CentOS entre ellos). El procedimiento para actualizar requerirá de un reinicio de todos los servicios que usen openssl para tener efecto. Es posible llevar a cabo una comprobación online sobre los servidores afectados a través de la url http://filippo.io/Heartbleed
Heartbleed y CanarCloud®
Para terminar, nos gustaría tranquilizar a nuestros clientes informándoles de que todos los servidores han sido actualizados para impedir la explotación de esta vulnerabilidad. Para ello hemos aplicado todas las recomendaciones de los fabricantes(CentOS, OpenSSL, cPanel, etc…) para garantizar que nuestra infraestructura de Cloud no se verá afectada por esta vulnerabilidad.
Más información en:
- http://www.securitybydefault.com/2014/04/desangrando-el-corazon-de-openssl- cve.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
- http://www.genbeta.com/seguridad/heartbleed-otro-fallo-extremadamente-grave-en-una-libreria-ssl
- http://forums.cpanel.net/f185/openssl-heartbleed-bug-1-0-1g-encryption-keys-risk-401511-p2.html
- http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+hispasec%2FzCAd+%28%40unaaldia%29
- http://www.elladodelmal.com/2014/04/heartbleed-y-el-caos-de-seguridad-en.html