¿Qué necesita saber sobre Heartbleed| NETSCOUT

¿Qué necesita saber sobre Heartbleed

Los vendedores y los administradores del sitio están luchando para cerrar el boquete abierto por Heartbleed, un error remotamente explotable en la biblioteca crypto de OpenSSL ampliamente utilizado para activar las sesiones TLS. Pero Heartbleed no solo afecta a los servidores web. Dado el uso generalizado de OpenSSL en una amplia gama de productos de red y la existencia de dos años de este error de implementación TLS, la superficie de ataque de Heartbleed e impacto potencial son muy significativos.
 
¿Qué es Heartbleed?
Heartbleed se refiere a una vulnerabilidad descubierta recientemente en la implementación de protocolo del latido de la Seguridad de la capa de transporte(TLS) contenida en OpenSSL. Cuando un servidor TLS utilizando una versión vulnerable de OpenSSL (1.0.1 a 1.0.1f) recibe un mensaje de extensión de latido que ha sido elaborado para causar el exceso de búfer de lectura, el servidor responde con un máximo de 64 KB de contenido aleatorio de memoria.
 
Según CVE-2014-0160, se ha observado que las respuestas de latido contienen datos sensibles, incluyendo claves privadas de certificados de servidores, claves de sesión TLS, inicios de sesión/contraseñas de usuarios y contenido de mensajes. Un atacante podría enviar muchas solicitudes de latidos para recolectar una parte importante de la memoria de un servidor sin levantar sospechas. La solicitud está cifrada y no registrada por OpenSSL. Sin embargo, podría ser posible que un IPS detecte/bloquee respuestas de latido TLS excesivamente frecuentes y prolongadas.
 
Más información sobre el error Heartbleed, las versiones afectadas de OpenSSL, y soluciones se pueden encontrar aquí:
 
 
¿Por qué me debo preocupar sobre Heartbleed?
El daño potencialmente realizado por Heartbleed es extenso, en parte porque los servidores y clientes TLS procesan una buena cantidad de información sensible con potencialmente utilidad de larga duración a los atacantes.
 
Por ejemplo, si Heartbleed se utilizará para recolectar material clave primario asociado a un certificado de servidor X.509, ese certificado ya no puede ser de confianza para la autenticación del servidor. La renovación del certificado no mitiga este riesgo: el certificado se debe revocar, reenviar y volver a instalar.
 
Si Heartbleed se utilizó para recolectar contraseñas administrativas, o credenciales de usuario enviadas a través de una sesión TLS codificado, dichas credenciales robadas podrían ser empleadas para comprometer cuentas de usuarios y perfiles asociados y datos almacenados. Si Heartbleed se utiliza para recolectar claves de sesión TLS, esas claves se podrían utilizar para descifrar el tráfico de sesión capturado en cualquier momento. Y así sucesivamente.
 
Por otra parte, el error Heartbleed ha estado en código OpenSSL por cerca de dos años, ahora creando una gran oportunidad para la explotación pasada. Los desarrolladores pueden tomar medidas ahora para eliminar el error, ya sea actualizando OpenSSL o con la recompilación del código afectado con la opción de configuración - DNO_OPENSSL_HEARTBEATS. Sin embargo, nada se puede hacer ahora para identificar retroactivamente datos anteriormente recolectados. Sin embargo, es posible que tengamos que asumir que las implementaciones utilizando versiones vulnerables de OpenSSL probablemente fueron explotadas por alguien, en alguna parte.
 
¿Por qué? Según http://www.heartbleed.com, los servidores web de fuente abierta como Apache y nginx utilizan versiones vulnerables de OpenSSL; junto, este software ahora funciona encendido en más del 66% de sitios web activos del Internet. Además, OpenSSL se utiliza por varios servidores SMTP/POP/IMAP de correo, puertas de enlace SSL VPN y dispositivos de redes, incluyendo enrutadores WLAN, puntos de acceso, controladores e infraestructura relacionada.
 
¿Cómo podría Heartbleed afectar la seguridad de mi WLAN? 
Para empezar, los productos WLAN que son manejables a través de HTTPS pueden ser vulnerables a Heartbleed. Esto probablemente incluye muchos enrutadores inalámbricos residenciales gestionados a través de interfaces web asegurados a través de OpenSSL. También puede incluir los puntos de acceso gestionados de forma remota y controladores WLAN que utilizan bibliotecas de OpenSSL, ya sea para asegurar las interfaces administrativas o para asegurar los portales de acceso de invitados integrados. Así que esté al tanto de avisos de seguridad y actualizaciones de firmware emitidas por su proveedor de productos WLAN y mientras tanto tome medidas para minimizar el riesgo de la explotación de errores, por ejemplo, deshabilitar la gestión de WLAN remota o aplicar ACL.
 
Además, los certificados de servidores y de clientes X.509 generados usando OpenSSL y utilizados para la autenticación WPA2-Enterprise 802.1X pueden necesitar ser revocados y volverse a enviar. Consulte el sistema CA o servicio utilizado para generarlos para evaluar la vulnerabilidad Heartbleed y también todos los sistemas vulnerables donde podrían haber sido utilizados estos certificados, junto con la clave privada del certificado.
 
Además, conforme se identifican los dispositivos de redes vulnerables, considere las credenciales y la configuración que podrían haberse recolectado en el pasado y tomar medidas para disuadir el mal uso futuro de esa información. Por ejemplo, un controlador AP o WLAN vulnerable también podría filtrar otros inicios de sesión/contraseñas de administrador o detalles de configuración almacenados en la memoria, como PSK utilizados para la autenticación personal WPA2.
 
A la medida que su organización desarrolle software que utiliza la biblioteca OpenSSL, actualice rápidamente a una versión fija de OpenSSL y/o compilar latidos TLS como se describió anteriormente. Las herramientas ahora se están circulando para probar su propio código/servidor para esta vulnerabilidad a Heartbleed (consulte http://www.heartbleed.com).
 
Por último, aproveche sus sistemas de seguridad y vigilancia para introducir un ojo en el tráfico, no solo tráfico TLS inusual o latidos TLS largos, pero inicios de sesión de administradores o de usuarios inusuales u otros comportamientos que puedan indicar el uso de la información previamente recolectada. En pocas palabras, póngase a usted mismo y a su red en estado de alerta hasta que disminuyan los riesgos y más detalles acerca de los posibles impactos y las consecuencias san conocidas.

 

 
 
Powered By OneLink