Vulnerabilidad de Open SSL de Día Cero #heartbleed solucionada, pero ¿realmente está tu servidor a prueba de vulnerabilidades? verifica ahora

Los investigadores de seguridad han descubierto un defecto extremadamente crítico y de alto riesgo en la biblioteca de software criptográfico llamada OpenSSL. OpenSSL es utilizado por aproximadamente dos tercios de los servidores web para identificarse ante los usuarios finales y prevenir la filtración o el espionaje de contraseñas, credenciales bancarias y otros datos sensibles. Los cibercriminales y atacantes potenciales que pueden explotar la vulnerabilidad pueden monitorear todos los datos que se transmiten entre un servicio y un cliente, o descifrar datos encriptados históricos con intención criminal. Muchos sistemas operativos modernos utilizan versiones vulnerables de Open SSL, incluyendo Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 y OpenSUSE 12.2. Además, dos de los servidores web más utilizados, Apache y nginx, y la mayoría de los servidores de correo y servicios de chat, VPN, etc., utilizan esta biblioteca de código. Aparte de lo anterior, la mayoría de los dispositivos que utilizan Linux embebido, como routers, etc., también son susceptibles a esta vulnerabilidad.

El defecto que residía en las versiones de producción de OpenSSL durante dos años desde diciembre de 2011 podría significar que los hackers/atacantes podrían recuperar la clave de encriptación privada en los certificados digitales. Esto podría ser utilizado para autenticar los datos que viajan entre los servidores y los usuarios finales, facilitando a los cibercriminales la explotación de casi todas las credenciales de usuario, como direcciones de correo electrónico, contraseñas, nombres de usuario bancarios y contraseñas, etc. El error no dejó rastros del ataque en los registros del servidor, por lo que nadie podría saber si sus servidores fueron comprometidos, ni los usuarios finales sabían si estaban siendo objeto de robo de identidad.

• El anuncio del error en OpenSSL coincidió con el lanzamiento de la versión 1.0.1g de Open SSL. Se le ha dado el apodo de ‘Heartbleed’ para enfatizar que el error estaba, de hecho, en el corazón de OpenSSL. Las versiones antiguas de OpenSSL, es decir, de 1.0.1 a 1.0.1f, con dos excepciones: la rama OpenSSL 1.0.0 y 0.9.8, todavía son vulnerables.*

• CloudFlare, un proveedor de servicios CDN, declaró en su blog que ya conocía la vulnerabilidad y, por lo tanto, tomó medidas para prevenir cualquier compromiso con los servidores respaldados por CloudFlare.*

Hoy se anunció una nueva vulnerabilidad en OpenSSL 1.0.1 que permite a un atacante revelar hasta 64kB de memoria a un cliente o servidor conectado (CVE-2014-0160). Solucionamos esta vulnerabilidad la semana pasada antes de que se hiciera pública. Todos los sitios que utilizan CloudFlare para SSL han recibido esta solución y están automáticamente protegidos.

Un analista de seguridad, Jared Stafford, ha publicado un código de prueba en Python para esta vulnerabilidad. El archivo PDF del probador de Python se proporciona a continuación para su referencia.

Además, también puedes visitar https://filippo.io/Heartbleed/ para verificar si tu servidor es vulnerable a este error de día cero. Para información adicional, puedes visitar el sitio de Github aquí que trata sobre Heartbleed o el sitio de heartbleed.

*Actualización: Tan pronto como la vulnerabilidad fue publicada en línea, Internet comenzó a sufrir filtraciones. Cientos de los mil sitios web principales, incluyendo Yahoo, Microsoft, Ubuntu, el FBI, sitios web bancarios, sitios web gubernamentales y pasarelas de pago, han sido encontrados vulnerables y los hackers ya han comenzado a atacar y filtrar credenciales de usuario de muchos de los sitios web.*

• • Algunos otros sitios web, incluyendo eBay, fueron rápidos y solucionaron la vulnerabilidad, salvándose de filtrar las credenciales de usuario. Varios otros sitios web están fuera de servicio para solucionar la vulnerabilidad, así que si ves que algunos de los principales sitios web están fuera de servicio por mantenimiento en las próximas horas, no es un gran problema a menos que las filtraciones de su servidor salgan en línea antes de eso.
• • La mejor manera de mantenerse seguro es no iniciar sesión en ningún servicio en línea vulnerable a Heartbleed hasta que el administrador del sistema lo solucione.