No siempre es Windows: Linux y Apple tienen problemas graves con sus certificados SSL

0

Como vamos a ver ahora, no siempre Microsoft ocupa las portadas, debido a los fallos de seguridad de su sistema Windows. Hoy vamos a comentar recientes problemas conocidos en los principales sistemas alternativos, concretamente en el apartado de cifrado de tráfico web.

Linux, cifrado GnuTLS en peligro.

Se ha descubierto una nueva vulnerabilidad en la implementación GNU de los certificados TLS, que ponen en riesgo la privacidad de los usuarios que ejecutan las principales distribuciones del sistema operativo Linux. El fallo se encuentra en la implementación GnuTLS, pudiendo ser utilizado para facilitar un ataque MiTM (man in the middle) que descifre el tráfico web, según una entrada de la web de seguridad de GnuTLS.

Se ha descubierto que el código de verificación X.509 falló al tratar de gestionar ciertos errores,que podrían ocurrir durante la validación del mismo“, afirma Tomas Hoger, de Red Hat. “Cuando ocurren este tipo de errores, GnuTLS podría informar de una verificación de certificado satisfactoria, incluso aunque esta termine en un fallo de seguridad“.

Incluso si el certificado no ha sido verificado por una CA o Certification Authority, un atacante podría utilizar un certificado modificado para la tarea, que sería aceptado por GnuTLS, dejando así una gran brecha de seguridad para que un tercero se introduzca en el intercambio de información, producido entre el usuario y el software que utilice certificados GnuTLS.

El impacto sería catastrófico. El protocolo TLS/SSL se usa hoy en día en millones de servicios a lo largo del mundo, para crear una conexión segura a servicios web críticos. La mayoría de servidores utilizan distribuciones de Linux como Red Hat, Ubuntu o Debian, por mencionar solo algunos de los muchos sistemas disponibles.

Los usuarios que ejecuten sistemas Linux vulnerables al ataque, deben actualizar su sistema lo antes posible, a la versión 3.2.12 o descargar el parche GnuTLS 2.12.x.

Apple corrige parcialmente un problema de seguridad en el cifrado

La semana pasada, Apple tuvo un problema similar, que le exigió publicar precipitadamente un parche corrector. El motivo era también el cifrado seguro SSL, que adolecía de una vulnerabilidad que exponía sus dispositivos a ataques MiTM (hombre en el medio), según informan diversos estudios de seguridad.

El software “fallaba al validar la autenticidad de la conexión“, respondió Apple al respecto.

Se lanzó una actualización para la versión actual de iOS, para iPhone 4 y posteriores, junto con la 5ª generación de iPod Touch y iPad 2 y posteriores. Sin embargo, Apple dejó a un lado a los dispositivos portátiles y ordenadores de escritorio (Mac OS X), que están también afectados.

Funcionamiento simplificado de un certificado digital X509

Apple no ha anunciado parches para estos dispositivos, por lo que las credenciales de usuario podrían ser interceptadas por cualquiera que simule tener un certificado de confianza (utilizados para realizar conexiones seguras hacia un servidor de Internet) mediante un ataque de suplantación de una de las partes, una forma de espionaje en la que el atacante intercepta laas comunicaciones no cifradas entre un emisor y una página web, como Facebook o Google, por ejemplo.

Los expertos de Bitdefender afirman que la vulnerabilidad reside en la implementación de Transporte Seguro, que falla al proporcionar la verificación del nombre de HOST. Esto quiere decir que cualquier certificado digital sería válido para cualquier web, siempre que este no esté caducado. Aparentemente, el problema está causado por una instrucción Goto duplicada, que secuestra la “lógica” en la función SSLVerifySignedServerKeyExchange.

Aún no sabemos cuando Apple publicará el parche, así como las versiones exactas de productos que están afectados por este problema.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR