Vulnerabilidade Zero Day Open SSL #heartbleed corrigida, mas seu servidor realmente está à prova de vulnerabilidades? verifique agora

Pesquisadores de segurança descobriram um defeito extremamente crítico e de alto risco na biblioteca de software criptográfico chamada OpenSSL. O OpenSSL é usado por aproximadamente dois terços dos servidores Web para se identificar aos usuários finais e prevenir o vazamento ou espionagem de senhas, credenciais bancárias e outros dados sensíveis. Potenciais cibercriminosos e atacantes que podem explorar a vulnerabilidade podem monitorar todos os dados transmitidos entre um serviço e um cliente, ou descriptografar dados criptografados históricos com intenção criminosa. Muitos sistemas operacionais modernos usam versões vulneráveis do Open SSL, incluindo Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 e OpenSUSE 12.2. Além disso, dois dos servidores web mais amplamente utilizados, Apache e nginx, e a maioria dos servidores de e-mail e serviços de chat, VPN etc. usam esta biblioteca de código. Além do acima, a maioria dos dispositivos que usam Linux embarcado, como roteadores, etc., também são suscetíveis a essa vulnerabilidade.

O defeito que residia nas versões de produção do OpenSSL por dois anos desde dezembro de 2011 poderia significar que hackers/atacantes poderiam recuperar a chave de criptografia privada nos certificados digitais. Isso poderia ser usado para autenticar os dados que viajam entre os servidores e os usuários finais, facilitando para os cibercriminosos explorar quase todas as credenciais de usuário, como IDs de e-mail, senhas, nomes de usuário bancários e senhas, etc. O bug não deixou rastros do ataque nos logs do servidor, então ninguém poderia saber se seus servidores foram comprometidos, nem os usuários finais sabiam se estavam sendo submetidos a qualquer roubo de identidade.

• O anúncio do bug no OpenSSL coincidiu com o lançamento da versão 1.0.1g do Open SSL. Foi dado o apelido de ‘Heartbleed’ para enfatizar que o bug estava de fato no coração do OpenSSL. As versões antigas do OpenSSL, ou seja, 1.0.1 a 1.0.1f, com duas exceções: a ramificação OpenSSL 1.0.0 e 0.9.8, ainda são vulneráveis.*

• CloudFlare, um provedor de serviços CDN, declarou em seu blog que já sabia sobre a vulnerabilidade e, portanto, tomou medidas para evitar qualquer comprometimento com servidores apoiados pelo CloudFlare.*

Hoje uma nova vulnerabilidade foi anunciada no OpenSSL 1.0.1 que permite a um atacante revelar até 64kB de memória para um cliente ou servidor conectado (CVE-2014-0160). Corrigimos essa vulnerabilidade na semana passada antes que fosse tornada pública. Todos os sites que usam CloudFlare para SSL receberam essa correção e estão automaticamente protegidos.

Um analista de segurança, Jared Stafford, lançou um código de teste em Python para essa vulnerabilidade. O arquivo PDF do Python Tester é dado abaixo para sua referência.

Além disso, você também pode visitar https://filippo.io/Heartbleed/ para verificar se seu servidor é vulnerável a esse bug de zero day. Para informações adicionais, você pode visitar o site do Github aqui lidando com Heartbleed ou o site heartbleed.

*Atualização: Assim que a vulnerabilidade foi liberada online, a Internet começou a vazar. centenas dos mil sites mais importantes, incluindo yahoo, Microsoft, Ubuntu, FBI, sites bancários, sites do governo e gateways de pagamento foram encontrados vulneráveis e hackers já começaram a atacar e vazar credenciais de usuário de muitos dos sites.*

• • Alguns outros sites, incluindo ebay, foram rápidos e corrigiram a vulnerabilidade, salvando-se de vazar as credenciais dos usuários. Vários outros sites estão fora do ar para corrigir a vulnerabilidade, então, se você ver alguns dos principais sites fora do ar para manutenção nas próximas horas, não é um grande problema, a menos que os vazamentos de seus servidores sejam publicados online antes disso.
• • A melhor maneira de se manter seguro é não fazer login em nenhum serviço online vulnerável ao heartbleed até que o administrador do sistema o corrija.