Medio millón de webs son vulnerables a Heartbleed

0

CifradoComo comentamos recientemente, la vulnerabilidad en las librerías OpenSSL han supuesto una convulsión en la red, debido al alcance del fallo y las consecuencias que se pueden producir, principalmente la suplantación de sitios web legítimos.

Esta vulnerabilidad afecta el 17% de servidores web con SSL, que utilizan certificados emitidos por Autoridades de Certificación (CA). Ya conocido con el nombre de HeartBleed,  una falta de conexión en la comprobación del manejo de la extensión TLS “Heartbeat“. Dicho fallo ofrece a un atacante la posibilidad de visualizar hasta 64Kb de memoria en servidor afectado. Esto podría permitir a los atacantes recuperar claves privadas y, en última instancia, descifrar el tráfico que transita de forma “segura” por la web, e incluso asumir la identidad del servidor.

Las plataformas má utilizadas para el manejo de librerías OpenSSL son Apache y nginx, que concentran en torno al 66% de la cuota de mercado según informes de Abril. Sin embargo, no todos estos servidores están utlizando un servicio HTTPS, ni están todos ejecutando versiones de OpenSSL que tengan Heartbeats habilitado.

Una encuesta reciente, realizada por Netcraft, sobre utilización de SSL, reveló que estaba habilitado en un 17,5% de los casos en que se usa SSL, lo que viene a suponer medio millón de certificados emitidos por Entidades de Confianza. Estos certificados son vulnerables a ser interceptados (a través de filtrado de clave privada) y esto permite a un atacante hacerse pasar por quién no es, de manera que podríamos estar visitando un sitio web que no es el que esperamos, pero al poseer un certificado válido y comprobado, el navegador no avisará del peligro.

Según mustran las cifras, un pequeño porcentaje de servidores web de Microsoft parecen soportar la extensión Heartbeats para TLS. Entendemos que se trata de máquinas Linux vulnerables que actúan como proxys invertidos frontend para servidores Windows.

Porcentaje de direcciones IP que soportan HeartBeat

Heartbeats se añadió a OpenSSL 1.0.1 (lanzado en 2012) por Robin Seggelmann, quien también es coautor de la herramienta Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension

El aviso de seguridad enviado por OpenSSL nos informa de que solamente las versiones 1.0.1 y 1.0.2-beta están afectadas, incluyendo las 1.0.1f y la 1.0.2-beta1. Este problema ha sido resuelto en la actualización OpenSSL 1.0.1g.

Auquellos usuarios que no puedan actualizar inmediatamente, deberían desactivar Heartbeat. Para ello deben recompilar OpenSSL con el comando –DOPENSSL_NO_HEARTBEATS.

Sitios web populares que soportan la extensión Heartbeat (no significa que sean vulnerables)

Twitter, GitHub, Yahoo, Tumblr, Dropbox, Steam y Bank of Australia, entre otros.

Los certificados con riesgo deberían ser revocados velozmente y reemplazados, sobre todo para preservar los datos personales. Las CA (Certificate Authorities), empresas de alojamiento web y terceras partes, deberían contactar a profesionales para identificar posibles problemas.

Para quienes deseen comprobar si su sitio web está utilizando la extensión vulnerable, Netcraft pone a su diposición un buscador que analiza URLs, debiendo fijarse en el componente etiquetado como RFC6520.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR