Una nueva vulnerabilidad crítica de Open SSL podría permitir a los hackers interceptar una comunicación segura engañando a la computadora para aceptar un certificado de seguridad falso como válido. Esto podría facilitar los ataques donde se podrían intervenir en las conexiones seguras de bancos o servicios de e mail.
El Open SSL es una de las implementaciones más usadas en los protocolos criptográficos de SSL y TLS. El software de código libre es ampliamente utilizado en los aparatos con acceso a internet, incluyendo dos tercios de todos los servidores.
La nueva alternativa de certificado por cadenas de falsificación de vulnerabilidad (CVE-2015-1793) lanzó un parche, el día de hoy, en una actualización de seguridad listada en el Proyecto OpenSSL. Ésta vulnerabilidad se vincula al proceso de verificación de los certificados OpenSSL. Los certificados SSL son listados en cadenas que se mueven desde el origen de la autoridad del certificado (CA, por sus siglas en inglés) a través de un número de intermediarios de CAs hasta llegar al certificado de usuario. Si un dispositivo, al conectarse, no puede establecer un certificado listado por un CA conocido y de confianza, se moverá a otro eslabón de la cadena hasta encontrar el CA confiable; de no ser así, se regresará un mensaje de error y se negará la conexión segura.
Si la primera cadena de certificados falla, Open SSL intentará buscar una cadena alternativa. La vulnerabilidad resulta de la implementación de este proceso, que podría permitir a un hacker poner chequeos seguros en CAs no confiables. Lo anterior, permitiría al ciberdelincuente usar un certificado válido para que actúe como un CA confiable y listar certificados inválidos, que serán tomados como válidos y confiables para el blanco del ataque.
Esta vulnerabilidad afecta las versiones de Open SSL 1.0.2c, 1.0.2b, 1.0.1n, y 1.0.1o. A los usuarios de las versiones 1.0.2b y 1.0.2c se les recomienda actualizar inmediatamente a 1.0.2d. A los Usuarios de las versiones 1.0.1n y 1.0.1o se les recomienda actualizar inmediatamente a la versión 1.0.1p.
Este es el último de una serie de ataques afectando el SSL y TLS en el último año y medio. La falla de mayor nivel era el “Heartbleed” o el OpenSSL TLS 'heartbeat' (CVE-2014-0160), y venía con su propio logo. Fue descubierto en abril de 2014 y permitía a los atacantes interceptar comunicación segura y robar información sensible como credenciales de registro, información personal, o llaves de cifrado explotando la debilidad en el "heartbeat" de los componentes del software.
Al "hearbleed" le siguió el descubrimiento de la vulnerabilidad Poodle en Octubre del 2014. Oficialmente conocida como SSL Man In The Middle Information Disclosure Vulnerability (CVE-2014-3566), Poodle afectó la vieja y recientemente depreciada versión del SSL (3.0), que fue introducida en 1996, y que, desde entonces, fue rebasada por muchas nuevas versiones de su protocolo sucesor TLS. Aun así, Poodle era explotable, ya que un buen número de navegadores, así como de servidores de internet, seguían admitiendo la versión SSL 3.0. De esta forma los hackers podían forzar una conexión segura que degeneraba en el SSL 3.0 para poder explotar la vulnerabilidad Poodle.
A principios de Marzo de este año, se descubrió que una vulnerabilidad conocida como FREAK. Afectaba SSL/TLS, y cuando el ataque era exitoso permitía interceptar y descifrar datos, así como la comunicación entre los usuarios y los servidores afectados. Conocido en un inicio como OpenSSL Man in the Middle Security Bypass Vulnerability (CVE-2015-0204), Freak permitió los ataques MITM contra conexiones seguras forzándolos a exportar los códigos de cifrado de datos a una forma de encriptación más débil, simple y fácil de descifrar. Actualmente la exportación degradada de cifrado ya casi no se usa.
Pisando los talones a FREAK, El Open SSL “Vulnerabilidad de denegación de servicio” (CVE-2015-0291) tuvo un parche en Marzo de 2015. La vulnerabilidad Podía ser explotada por los hackers en los servidores denegando el servicio seguro DoS a los servidores que no estaban vacunados.
Finalmente, en Mayo de este año, SSL/TLS Logjam Man in the Middle Security Bypass Vulnerability, vulnerabilidad de seguridad bypass” (CVE-2015-4000) fue descubierto y parchado. Si se dejaba sin parche, el Logjam permitía a los atacantes explotar una debilidad en la llave de la sesión que intercambiaba un mecanismo al inicio de la comunicación segura, ya que muchas implementaciones usan y comparten la estática de 512-bit, números primos para proteger las llaves de inicio de sesión en el proceso de intercambio. Esto hacía mucho más fácil exponer las llaves de inicio de sesión usadas para encriptar durante las sesiones SSL/TSL.
Atenuantes
- Esta es una vulnerabilidad de OpenSSL y no una falla con SSL/TSL, tampoco con los certificados emitidos por Symantec.
- Cualquiera que use OpenSSL 1.0.1 y hasta la versión 1.0.2 deben actualizar a la nueva versión del software lo antes posible. Los usuarios de OpenSSL versiones 1.0.0 y 0.9.8 no están afectados por este problema.
- Estén pendientes de que muchos paquetes de software usan OpenSSL y que todos necesitarán actualización una vez que el fabricante incorpore el parche de la versión de OpenSSL al producto.
La herramienta de chequeo de certificados SSL de Symantec’s revisará si un Sitio Web es vulnerable a explotación. Puede acceder al checador de certificados en la siguiente dirección: https://ssltools.websecurity.symantec.com/checker/