Múltiples Vulnerabilidades en OpenSSL – Esto es lo que hay que hacer
Post original escrito por Johan Norrman de Detectify para sysarmy.
Marzo podría haber empezado mejor para el equipo de OpenSSL. Durante la última semana, el equipo de desarrollo de OpenSSL publicó dos CVEs de alto impacto, CVE-2016-0800 y CVE-2016-0703. En este post, explicamos cómo las CVEs pueden comprometer tu seguridad y qué pasos podés tomar para asegurarte.
CVE-2016-0800 (DROWN)
Probablemente hayas escuchado hablar acerca de CVE-2016-0800 por su nick, "DROWN". Según drownattack.com un servidor es vulnerable a DROWN si utiliza conexiones SSLv2 o si su llave privada se comparte con cualquier otro servidor que permita SSLv2 (ver CVE-2016-0703 abajo).
Qué puede pasar: al acceder a un servidor vulnerable a DROWN, el atacante puede obtener información como ser usuarios, contraseñas, números de tarjetas de crédito o cualquier otra información sensible enviada por medio del servidor.
Qué tengo que hacer:
Asegurarte de actualizar OpenSSL a la versión recomendada.
Si usás 1.0.1 actualizá a 1.0.1s
Si usás 1.0.2 actualizá a 1.0.2g
Deshabilitar SSLv2 – cómo hacer esto varía dependiendo del software que se esté usando.
Si no estás seguro respecto de ser vulnerable o no, podés usar servicios como Detectify, que muestran un aviso si aún estás utilizando SSLv2 al realizar un scan (ver foto).
Aprendé más sobre DROWN:
Si querés saber más sobre OpenSSL y DROWN, te recomendamos este post de parte del equipo de OpenSSL.
CVE-2016-0703
El segundo problema, CVE-2016-0703, sólo afecta las versiones de OpenSSL anteriores al 19 de marzo de 2015, y se soluciona en OpenSSL 0.9.8zf, 1.0.0r, 1.0.1m y 1.0.2a.
Qué puede pasar: permite que un atacante remoto realice un ataque de recuperación de llave del tipo divide-y-vencerás (divide-and-conquer key recovery attack). Espiando el handshake de SSLv2 el atacante puede determinar la llave privada de SSLv2, en consecuencia derivando en una versión mucho más eficiente de DROWN.
Qué tengo que hacer:
Asegurarte de actualizar a OpenSSL 0.9.8zf, 1.0.0r, 1.0.1m y 1.0.2a, dependiendo de la versión que uses ahora.
Leer la información de seguridad de tu proveedor de software para determinar si hay alguna acción extra necesaria para estar asegurado.
Comentarios de Detectify:
"Mantener tu infraestructura actualizada se vuelve más y más fácil a medida que más empresas migran a una cultura DevOps. Los responsables de parchar y mantener los entornos de producción actualizados son ahora parte de tu equipo de desarrollo y no son sólo responsables de asegurarse que los servidores están funcionando. Sin embargo, parchar tus servidores de producción siempre será un desafío, y mantenerlos al día debería ser siempre la prioridad” dice el CIO de Detectify, Johan Norman.