Luego de Heartbleed, Poodle y otras vulnerabilidades de alto perfil, apareció FREAK (Factoring attack on RSA-EXPORT Keys), que hasta ahora ha roto aproximadamente el 36% de todos los sitios confiables, incluyendo sitios web que pertenecen a la NSA y al FBI. Además se cree que cerca del doce por ciento de sitios web de alto rango de Alexa son vulnerables a esta falla.
La vulnerabilidad, descubierta por Karthikeyan Bhargavan de INRIA en Paris y el grupo mitLS, permite a un atacante activo realizar un ataque del tipo man-in-the-middle con el fin de degradar una conexión cifrada entre un cliente y un servidor vulnerable que acepta claves RSA con grado exportación a 512-bits. La clave capturada puede utilizar una nube pública en cuestión de horas y adicionalmente ser utilizada para descifrar la comunicación entre el cliente y el servidor. Una vez que la clave ha sido comprometida, toda la información personal incluyendo contraseñas y datos financieros está en riesgo.
El origen de la vulnerabilidad reside en las restricciones de exportación criptográfica impuestas por el gobierno de Estados Unidos en la década de 1990. Desde entonces, estas restricciones disminuyeron, pero la puerta trasera de cifrado débil continúa en el software. A principios de 1990, los recursos para romper una encriptación a 512-bit iban más allá del alcance del atacante promedio. Sin embargo al día de hoy, y dado el aumento de la potencia de cálculo, en conjunto con la reducción de costos, romper el cifrado de 512-bits ya no es algo difícil.
Los servidores vulnerables y los clientes no ofrecen la suite RSA_EXPORT o no utilizan una versión de OpenSSL que es vulnerable a CVE-2015-0204, el identificador CVE asignado a la vulnerabilidad SSL FREAK.
En enero de 2015 OpenSSL publicó un parche que soluciona esta vulnerabilidad y otros proveedores están en proceso de hacerlo.
Actualmente, los investigadores de Websense no han encontrado ejemplos de una explotación activa de esta vulnerabilidad, aunque los ataques del tipo man-in-the-middle son de uso común en los ataques dirigidos por los hackers contra periodistas y visitantes internacionales de alto perfil, así como por atacantes oportunistas.
Compartir nota:
