Vulnerabilità Zero Day Open SSL #heartbleed risolta, ma il tuo server è davvero a prova di vulnerabilità? Controlla ora

I ricercatori di sicurezza hanno scoperto un difetto estremamente critico e ad alto rischio nella libreria software crittografica chiamata OpenSSL. OpenSSL è utilizzato da circa due terzi dei server Web per identificarsi agli utenti finali e prevenire la fuga o l’intercettazione di password, credenziali bancarie e altri dati sensibili. Potenziali criminali informatici e attaccanti che possono sfruttare la vulnerabilità possono monitorare tutti i dati trasmessi tra un servizio e un client, o decrittografare dati storicamente crittografati con intenti criminali. Molti sistemi operativi moderni utilizzano versioni vulnerabili di Open SSL, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 e OpenSUSE 12.2. Inoltre, due dei server web più utilizzati, Apache e nginx, e la maggior parte dei server email e dei servizi di chat, VPN, ecc. utilizzano questa libreria di codice. Oltre a quanto sopra, la maggior parte dei dispositivi che utilizzano Linux embedded, come i router, ecc. sono anche suscettibili a questa vulnerabilità.

Il difetto, che risiedeva nelle versioni di produzione di OpenSSL da due anni, da dicembre 2011, potrebbe significare che hacker/attaccanti potrebbero recuperare la chiave di crittografia privata nei certificati digitali. Questa potrebbe quindi essere utilizzata per autenticare i dati che viaggiano tra i server e gli utenti finali, rendendo facile per i criminali informatici sfruttare quasi tutte le credenziali degli utenti, come indirizzi email, password, nomi utente bancari e password, ecc. Il bug non ha lasciato tracce dell’attacco nei log del server, quindi nessuno poteva sapere se i propri server erano stati compromessi, né gli utenti finali sapevano se erano stati soggetti a furto di identità.

• L’annuncio del bug in OpenSSL è coinciso con il rilascio della versione 1.0.1g di Open SSL. È stato dato un soprannome ‘Heartbleed’ per sottolineare che il bug era effettivamente al cuore di OpenSSL. Le vecchie versioni di OpenSSL, ovvero 1.0.1 fino a 1.0.1f, con due eccezioni: il ramo OpenSSL 1.0.0 e 0.9.8, sono ancora vulnerabili.

• CloudFlare, un fornitore di servizi CDN, ha dichiarato nel suo blog che era già a conoscenza della vulnerabilità e quindi ha preso misure per prevenire qualsiasi compromissione con i server supportati da CloudFlare.

Oggi è stata annunciata una nuova vulnerabilità in OpenSSL 1.0.1 che consente a un attaccante di rivelare fino a 64kB di memoria a un client o server connesso (CVE-2014-0160). Abbiamo risolto questa vulnerabilità la scorsa settimana prima che fosse resa pubblica. Tutti i siti che utilizzano CloudFlare per SSL hanno ricevuto questa correzione e sono automaticamente protetti.

Un analista di sicurezza, Jared Stafford, ha rilasciato un codice di test Python per questa vulnerabilità. Il file PDF del Tester Python è fornito di seguito per il tuo riferimento.

Inoltre, puoi anche visitare https://filippo.io/Heartbleed/ per controllare se il tuo server è vulnerabile a questo bug zero day. Per ulteriori informazioni, puoi visitare il sito Github qui che tratta di Heartbleed o il sito heartbleed.

*Aggiornamento: Non appena la vulnerabilità è stata rilasciata online, Internet ha iniziato a sanguinare perdite. Centinaia dei mille siti web più importanti, tra cui yahoo, Microsoft, Ubuntu, FBI, siti web bancari, siti web governativi e gateway di pagamento, sono stati trovati vulnerabili e gli hacker hanno già iniziato ad attaccare e a far trapelare le credenziali degli utenti da molti dei siti web.*

• Alcuni altri siti web, tra cui ebay, sono stati rapidi e hanno risolto la vulnerabilità, salvandosi dal far trapelare le credenziali degli utenti. Molti altri siti web stanno andando offline per risolvere la vulnerabilità, quindi se vedi alcuni dei principali siti web andare offline per manutenzione nelle prossime ore, non è un grosso problema a meno che le perdite dai loro server non vengano pubblicate online prima di allora.
• Il modo migliore per rimanere al sicuro è non accedere a nessun servizio online vulnerabile a heartbleed fino a quando l’amministratore di sistema non lo risolve.