Ya está disponible el plugin de Heartbleed para FaasT

jueves, 10 de abril de 2014

Poco podemos aportar sobre este problema que no se haya dicho ya. Una vulnerabilidad gravísima por muchas razones y que agita algunos cimientos en Internet. Conocida como Heartbleed, CVE-2014-0160, afecta a distintas versiones de OpenSSL, desde la 1.0.1 hasta la 1.0.1f y 1.0.2-beta1. A partir de la versión 1.0.1g se corrige la vulnerabilidad.

Aunque en un principio los medios hablaron del 66% de sitios afectados, en realidad esa cifra corresponde a la cuota de uso de Apache y nginx, que entre ellos pueden (o no) usar OpenSSL y de entre ellos, a su vez pueden (o no) ser vulnerables. En futuras entradas esperamos hablar en detalle sobre la vulnerabilidad, y algunas curiosidades y repercusiones. Ya hemos corregido el problema en nuestros propios servidores de Latch. Por cierto, hemos renovado los certificados de nuestra API. Recomendamos por tanto a los clientes que, si realizan una comprobación del certificado durante sus consultas, descarguen el nuevo certificado y adapten sus sistemas.

¿Qué me pueden hacer?

Si se utiliza una versión vulnerable de OpenSSL en un sitio web, potencialmente cualquier usuario podrá acceder a una porción de memoria del proceso OpenSSL. Esto significa que lo que haya en ese instante en la memoria puede ser extraído por un atacante de manera "limpia", fácil y remota. En otras palabras: si en esa porción de memoria que se extrae, se encuentran usuarios y contraseñas, cookies de sesión, o incluso la clave privada del certificado (algo que depende de la probabilidad y de cuántas veces se realice la petición)... esta información quedará expuesta. Dado que se pueden realizar tantas peticiones como sea necesario, sí que parece grave. Por tanto el comprometido no es solo el servidor, sino sus usuarios, sus cuentas, etc. Incluso, dependiendo de cómo esté configurado SSL, podrían descifrarse conversaciones  cifradas retrospectivamente.

Existen ya numerosos scripts y pruebas de concepto que permiten, con un solo clic, atacar a los servidores vulnerables... y como efecto colateral, a sus usuarios.

FaasT y el Heartbleed

El equipo de Faast se ha puesto manos a la obra para adaptar y crear el código que compruebe si realmente los sitios web de los clientes son vulnerables a este grave problema. Ya se dispone de esta funcionalidad en la herramienta, en forma de plugin. Es importante que, si se utiliza OpenSSL en el servidor, se compruebe si se es vulnerable.

Detección en tiempo real de HeartBleed, en la lista de vulnerabildiades de FaasT

Faast dispone de una característica que permite mostrar, en forma de imagen, la evidencia por la que se ha detectado que efectivamente, la vulnerabilidad es aprovechable en el servidor objetivo. Esta evidencia se muestra en el informe del escaneo (en PDF), pero además se puede ver desde la interfaz web de usuario.

Ejemplo de evidencia generado por FaasT

No hay comentarios:

Publicar un comentario en la entrada