Video: Heartbleed Exploit - Discovery & Exploitation (Noviembre 2024)
En abril, supimos que un error en la popular biblioteca de códigos OpenSSL podría permitir a los atacantes obtener memoria de servidores supuestamente seguros, capturando potencialmente credenciales de inicio de sesión, claves privadas y más. Apodado "Heartbleed", este error existió durante años antes de ser descubierto. La mayoría de las discusiones sobre este error suponían que los hackers lo usarían contra servidores seguros. Sin embargo, un nuevo informe demuestra que puede explotarse fácilmente tanto en servidores como en puntos finales que ejecutan Linux y Android.
Luis Grangeia, investigador de SysValue, creó una biblioteca de códigos de prueba de concepto que él llama "Cupido". Cupid consta de dos parches para las bibliotecas de código de Linux existentes. Uno permite que un "servidor maligno" explote Heartbleed en clientes vulnerables de Linux y Android, mientras que el otro permite que un "cliente maligno" ataque servidores Linux. Grangeia ha hecho que el código fuente esté disponible gratuitamente, con la esperanza de que otros investigadores se unan para aprender más sobre qué tipo de ataques son posibles.
No todos son vulnerables
Cupid funciona específicamente contra redes inalámbricas que usan el Protocolo de autenticación extensible (EAP). El enrutador inalámbrico de su hogar casi seguro no usa EAP, pero la mayoría de las soluciones de nivel empresarial sí. Según Grangeia, incluso algunas redes cableadas usan EAP y, por lo tanto, serían vulnerables.
Un sistema parcheado con el código de Cupido tiene tres oportunidades para obtener datos de la memoria de la víctima. Puede atacar incluso antes de que se establezca la conexión segura, lo cual es un poco alarmante. Puede atacar después del apretón de manos que establece la seguridad. O puede atacar después de que se hayan compartido los datos de la aplicación.
En cuanto a lo que puede capturar un dispositivo equipado con Cupido, Grangeia no lo ha determinado ampliamente, aunque "la inspección superficial encontró cosas interesantes tanto en clientes vulnerables como en servidores". Aún no se sabe si estas "cosas interesantes" podrían incluir claves privadas o credenciales de usuario. Parte de la razón para liberar el código fuente es hacer que más cerebros trabajen para descubrir esos detalles.
¿Qué puedes hacer?
Android 4.1.0 y 4.1.1 usan una versión vulnerable de OpenSSL. Según un informe de Bluebox, las versiones posteriores son técnicamente vulnerables, pero el sistema de mensajes de heartbeat está deshabilitado, lo que no le permite a Heartbleed explotar.
Si su dispositivo Android ejecuta 4.1.0 o 4.1.1, actualice si es posible. Si no, Grangeia aconseja que "debe evitar conectarse a redes inalámbricas desconocidas a menos que actualice su ROM".
Los sistemas Linux que se conectan vía inalámbrica son vulnerables a menos que OpenSSL haya sido parcheado. Aquellos que usan dichos sistemas deben verificar dos veces para asegurarse de que el parche esté en su lugar.
En cuanto a las redes corporativas que usan EAP, Grangeia sugiere que hagan que SysValue u otra agencia prueben el sistema.
Macs, cajas de Windows y dispositivos iOS no se ven afectados. Por una vez, es Linux el que está en problemas. Puedes leer la publicación completa de Grangeia aquí o ver una presentación de diapositivas aquí. Si usted es un investigador, es posible que desee obtener el código y experimentar un poco.
