Actualmente la información sensible está en riesgo debido a la vulnerabilidad Heartbleed permite robar la información protegida en condiciones normales, es decir, por cifrado SSL / TLS, que se utiliza para asegurar la Internet. Este sistema proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como Web, correo electrónico, Mensajería Instantánea (IM) y algunas redes privadas virtuales (VPN).
El bug Heartbleed proporciona a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Se trata de una vulnerabilidad en la popular librería criptográfica OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido actual, de esta manera los atacantes espían la comunicación, roban los datos directamente de los servidores y de los usuarios y para suplantar a los servidores y los usuarios.
Versiones afectadas de OpenSSL
• Las versiones afectadas de OpenSSL incluyen OpenSSL 1.0.1 a través de 1.0.1f (inclusive).
• OpenSSL 1.0.1g, OpenSSL 1.0.0 remoto y OpenSSL 0.9.8 remoto no son vulnerables.
• Programa Vulnerable: Los archivos de código fuente del programa vulnerables son t1_lib.c y dl_both.c
• Función Vulnerable: Las funciones vulnerables son tls1_process_heartbeat () y dtls1_process_heartbeat ().
Mecanismo técnico
Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que proporcionan seguridad, autenticación e integridad de datos para la comunicación a través de redes TCP / IP. Mediante el uso de criptografías primitivas tales como el sistemas de cifrado de clave simétrica, las funciones hash criptográficamente seguras y de infraestructura de clave pública para el cifrado asimétrico / descifrado y autenticación, estos protocolos que permiten a los hosts comunicarse de forma segura a través de redes inseguras.
El Datagram Transport Layer Security (DTLS) es muy similar al TLS, que se utiliza para la comunicación a través de la capa de transporte TCP; pero incluye, entre otras características, un mecanismo de retransmisión para hacer frente a la capa de transporte UDP no fiable.
TLS / DTLS son protocolos de capas. Todos los datos intercambiados entre los dos Endpoints están contenidas dentro de registros TLS / DTLS, la capa inferior del conjunto de protocolos.
Existe una vulnerabilidad de divulgación de información en OpenSSL. Las funciones vulnerables tls1_process_heartbeat() y dtls1_process_heartbeat() fallan para validar el valor de longitud del payload al procesar mensajes de solicitud de Heartbeat. Mientras se realiza la construcción de un mensaje de respuesta Heartbeat copia los bytes de longitud del payload a partir del payload dentro del búfer de respuesta. Si el payload siempre fue menor que los bytes de longitud del payload, memcpy () llenará el búfer de respuesta con el contenido de la memoria más allá del mensaje de solicitud de Heartbeat en la memoria del búfer.
Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad mediante el envío de varios mensajes elaborados de Heartbeat a la aplicación de destino. Una explotación exitosa podría resultar en hasta 64 KB de la divulgación de memoria.
Existe una herramienta de la compañía Cyberoam, la cual se puede probar de forma gratuita para detectar si un servidor Web es vulnerable al ataque Heartbleed, la misma la pueden descargar desde www.cyberoam.com
Cabe señalar que la firma ha lanzado una estrategia puntual para proteger a sus clientes, y es que el equipo de Investigación de Cyberoam ha realizado un análisis acerca de Heartbleed. Las conclusiones han derivado en lo siguiente: esta vulnerabilidad no afecta a la última versión de los equipos GA de Cyberoam que incluyen 10,04. X, 10.02.X y 10.01.X, pues utilizan una versión protegida de OpenSSL. Las versiones de firmware 10.6.x se ven afectados por esta vulnerabilidad. Por favor, asegúrese de actualizar el dispositivo Cyberoam con la última versión del firmware para 10,6 i.e. 10.6.1 RC- 4.
Además, se han lanzado actualizaciones de IPS 3.11.61 y 5.11.61 dirigidas contra el exploit «Heartbleed» para todas las versiones de Cyberoam GA 10.6.x
Nombre de la Firma (s): OpenSSL TLS DTLS Heartbeat Information Disclosure
Acción predeterminada: Drop. Usted puede comprobar / actualizar la versión de las firmas IPS a través de su interfaz de administración en la pestaña: System->Maintenance->Updates.
Los clientes de Cyberoam requieren aplicar la política IPS de Cyberoam en las respectivas reglas del firewall. Adicional a esto, Cyberoam también recomienda a todos los usuarios no utilizar ninguna versión afectada de OpenSSL en sus aplicaciones tales como servicios Web, entre otros.
