Ciberamenaza Heartbleed – Lo que significa para su empresa y para usted

Artículo escrito por Albert Sans.

Recientemente se ha descubierto uno de los mayores agujeros de seguridad en internet de la historia. Todo empezó durante la noche de fin de año del 2011 tras la activación de una nueva funcionalidad (apodada “Heartbeat”) en la librería de código abierto OpenSSL a manos de un programador Alemán.

El fallo bautizado como Heartbleed (CVE-2014-0160) reside en el manejo de las peticiones Heartbeat, siendo posible alterar la longitud del tamaño de datos de respuesta abriendo la posibilidad de leer datos de la memoria. En consecuencia, obtener datos de sesiones como cookies de sesión, datos descifrados, contraseñas, certificados, entre otros.

Se trata de una amenaza directa a la confidencialidad de la información, la cual también puede tener implicaciones potenciales para la disponibilidad. Las versiones afectadas son OpenSSL versión 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 y 1.0.2-beta, tanto a nivel cliente como servidor. La librería es utilizada en una gran variedad de servidores y utilizada en numerosos servicios como por ejemplo; servidores web y de aplicación (WS/AS), correo electrónico, servidores de ficheros y de correo, sistemas operativos, electrónicas de red como routers, firewalls, balanceadores de carga, proxy’s, concentradores, servicios de acceso remoto VPN, etc.

Cabe destacar que también hubo impacto en instituciones financieras y seguros, servicios de almacenamiento en la nube como Dropbox y llegando a afectar a servicios de gestión de credenciales como Lastpass ampliamente extendido en los últimos tiempos.

Otro aspecto relevante de la vulnerabilidad es el hecho de que no deja evidencias en el servidor y por otro lado, cabe destacar su facilidad de explotación. Aunque es posible verificar la existencia de la vulnerabilidad, es difícil para las organizaciones conocer si estas han sido comprometidas anteriormente.

A continuación se muestran algunas, entre las numerosas vías de mitigación, que pueden ayudarle de forma significativa tanto a su empresa como a usted:

1. Identificación de los recursos vulnerables teniendo en cuenta los entornos afectados comentados en los puntos anteriores.
2. Actualización masiva de la nueva versión (OpenSSL 1.0.1g), estableciendo posteriormente una monitorización continua de las actualizaciones.
   En algunos sistemas puede ser complicada su actualización, con lo que se recomienda contactar con el fabricante y proceder de forma compensatoria a limitar su exposición, tanto externa como interna, mediante segmentación hasta que no se haya normalizado la situación.
3. Cambio de contraseñas global de todos los entornos afectados aunque no sean vulnerables, y de otros que lo puedan haber sido y en consecuencia puedan estar comprometidos también.
4. Dicha vulnerabilidad ha podido comprometer tanto certificados digitales como llaves privadas, siendo necesario iniciar un proceso de revocación, regeneración y distribución.
5. Habilitar en mayor o menor medida un método de autenticación de doble factor (2FA o MFA). En la actualidad las credenciales son permanentemente comprometidas con lo que considero este método imprescindible para la prevención del uso de las credenciales comprometidas por posibles brechas de seguridad.

Esta situación pone de manifiesto la necesidad de poner las organizaciones y sus servicios a prueba de forma continua para evaluar el nivel de madurez ante la respuesta y recuperación y así mismo, identificar los controles de seguridad críticos implementados (se hablará de ellos en otro post) para ayudar a prevenir y mitigar las ciberamenazas.

Fuentes de referencia

• http://www.heartbleed.com
• http://digital-forensics.sans.org/blog/2014/04/10/heartbleed-links-simulcast-etc/
• http://www.securityfocus.com/bid/66690/