1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2014-004 Vulnerabilidad Heartbleed en OpenSSL

Una vulnerabilidad en OpenSSL podría permitir la exposición de datos sensibles, incluyendo credenciales de usuario y llaves privadas, debido a un manejo inadecuado de memoria en la extensión heartbeat de TLS.

  • Fecha de Liberación: 8-Abr-2014
  • Ultima Revisión: 25-Abr-2014
  • Fuente: OpenSSL.org
  • CVE ID: CVE-2014-0160
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Divulgación de información

Sistemas Afectados

OpenSSL >= 1.0.1
OpenSSL <= 1.0.1f
OpenSSL == 1.0.2-beta

  1. Descripción

    Las versiones 1.0.1 a 1.0.1f de OpenSSL tienen una falla en su implementación de la funcionalidad heartbeat de TLS/DTLS, la cual permite a un atacante tener acceso a la memoria privada de alguna aplicación que utilice la biblioteca vulnerable de OpenSSL tomando bloques de 64k. El atacante podría utilizar la vulnerabilidad tantas veces como fuera necesario para obtener información sensible, entre la que podría incluirse:

    • Llaves privadas
    • Nombres de usuario y contraseñas
    • Otros datos sensibles utilizados en los servicios que utilicen la biblioteca vulnerable de OpenSSL

    Es importante tener en cuenta que OpenSSL se utiliza en diversos servicios como mecanismo para cifrar el medio de comunicación, por ejemplo:

    • Web (https)
    • Correo electrónico (imaps, pops, smtps)
    • Servicios de directorio (ldaps)
    • Redes Privadas Virtuales (VPN)

    Este fallo afecta a cualquier software que haga uso de una biblioteca vulnerable de OpenSSL y no deja rastro en las bitácoras de las aplicaciones afectadas debido a que el ataque se establece inmediatamente después de inicializar la transmisión con TLS.

    Existen exploits y pruebas de concepto disponibles en Internet que verifican si el servicio es vulnerable y realizan el volcado de la información obtenida.


  2. Impacto

    Esta falla permite a un atacante acceder desde un sitio remoto a memoria privada de una aplicación que utiliza la biblioteca OpenSSL vulnerable en bloques de 64k.


  3. Solución

    • Actualizar a la versión OpenSSL 1.0.1g que corrige este vulnerabilidad. Todas las llaves generadas con una versión vulnerable de OpenSSL deberían considerarse comprometidas, por lo que deberían ser generadas e instaladas nuevamente, una vez que el parche haya sido aplicado.
    • Verificar con el fabricante del sistema operativo para revisar si existe un paquete que contenga la versión actualizada.
    • Recompilar los binarios y bibliotecas de OpenSSL con la opción -DOPENSSL_NO_HEARTBEATS para no incluir la funcionalidad afectada.
    • Se recomienda considerar la implementación de Perfect Forward Secrecy para mitigar el daño que podría provocar la revelación de llaves privadas.

  4. Verificación


    Herramientas de verificación via web


    Herramientas de verificación por línea de comandos


    Reglas de SNORT para detectar el ataque (SIDs 30510 - 30517)


  5. Referencias


La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Andrés Leonardo Hernández Bermúdez (ahernandez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT