Grave Vulnerabilidad en los servidores con OpenSSL ( HeartBleed )

Nos llega una preocupante información referida a una grave vulnerabilidad en el acceso seguro a sitios web HTTPS.

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

La vulnerabilidad Heartbleed o CVE-2014-0160, se debe a fallo en OpenSSL un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).

El error Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL comprometiendo las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios. Esto permite a los atacantes espiar las comunicaciones, robar los datos directamente de los servicios y de los usuarios y suplantar los servicios y los usuarios.

Este error de programación o bug, es único porque deja gran cantidad de claves privadas y otros secretos expuestos en Internet. Teniendo en cuenta el tiempo de exposición, la facilidad de explotación y los ataques sin dejar rastro esta exposición debe ser tomada muy en serio.

Aunque este error está presente en OpenSSL desde diciembre de 2011, hasta ahora no se ha descubierto y puede engañar a cualquier sistema que utilice versiones de OpenSSL de hasta dos años de antigüedad. En concreto, las versiones de OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta, y por el momento han sacado una versión provisional, la 1.0.1g.

Para remediarlo hay que emprender varias acciones, primero comprobar si la versión de OpenSSH en nuestro servidor es vulnerable, en ubuntu podemos comprobar la versión con el comando #openssh version -a . También podemos acudir ala siguiente página web que nos realiza un test online comprobando si la dirección web de nuestro servidor está afectada, comprobando el puerto seguro :443 Heartbleed test .

Si nuestro Sistema Operativo se encuentra entre los siguientes debemos preocuparnos:

• Debian Wheezy (stable), (OpenSSL 1.0.1e-2+deb7u4)
• Ubuntu 12.04.4 LTS, (OpenSSL 1.0.1-4ubuntu5.11)
• CentOS 6.5, (OpenSSL 1.0.1e-15)
• Fedora 18, (OpenSSL 1.0.1e-4)
• OpenBSD 5.3 & 5.4 (OpenSSL 1.0.1c)
• FreeBSD 10.0 – (OpenSSL 1.0.1e)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Sistemas operativos con versiones que no son vulnerables:

• Debian Squeeze (antigua estable), OpenSSL 0.9.8o-4squeeze14
• SUSE Linux Enterprise Server
• FreeBSD 8.4 – 0.9.8y OpenSSL 05 de febrero 2013
• FreeBSD 9.2 – 0.9.8y OpenSSL 05 de febrero 2013
• FreeBSD Ports – 1.0.1g OpenSSL (Al 07 de abril 2014 21:46:40 UTC)

Los usuarios afectados deben actualizar a OpenSSL 1.0.1g. Los usuarios que no puedan actualizar inmediatamente puede recompilar OpenSSL con -DOPENSSL_NO_HEARTBEATS.
Los usuarios que tengan instalada la versión 1.0.2 deberán actualizar a  1.0.2-beta2.

Este error fue descubierto independientemente por un equipo de ingenieros de seguridad (Riku, Antti y Matti) en Codenomicon y Neel Mehta, de Google Security, quien informó por primera vez al equipo de OpenSSL.

Los servidores que prevean que han sido afectados deberán además de actualizar la versión de OpenSSH, generar de nuevo sus claves privadas, y en el caso de que puedan verse afectadas cuentas de usuarios solicitar el cambio de las contraseñas.

La mayoría de los servidores con instalaciones de servidores web de código abierto como Apache y Nginx utilizan OpenSSL, estos dos servidores suponen más del 66% según la encuesta de abril de 2014 de Netcraft Web Server. Por lo que sin duda hay que darle una rápida solución solución. Desde ANADIA Innovación Tecnológica https://anadia.es hemos comprobado nuestros servidores y actualizado las librerías y OpenSSH a su última versión, así como hemos actualizado las contraseñas de usuario. Una medida extra de seguridad la proporciona el plugin para el navegador Chrome Chromebleed checker que te permite comprobar que el servidor que aloja la página que estás consultando no se ve afectada por este bug.