comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Bug OpenSSL - Heartbleed - Vulnerabilidad y Fix

  • 5 Respuestas
  • 3003 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5411
  • Actividad:
    20%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Abril 09, 2014, 04:46:33 pm »

Estamos ante una de las vulnerabilidades más graves (opinión personal) de los últimos años. Y no sólo vulnerabilidad, la explotación tiene efectos que sinceramente, tras verlos, asustan.

El día 7 de Abril se publicó una vulnerabilidad en OpenSSL 1.0.1 que permitiría a un atacante obtener 64Kb de memoria. Pueden parecer pocos, pero os aseguro que en dicha sección de memoria se pueden encontrar credenciales, cookies de sesión, claves privadas, etc, de los clientes y servidores conectados al servidor vulnerable. El aluvión de tweets referentes a este tema fue masivo, han sido unas navidades anticipadas con un regalo en forma de vulnerabilidad que permite ser explotada en cualquier servicio vulnerable expuesto sin apenas ser detectado.

Esta vulnerabilidad ha sido descubierta por Neel Mehta del equipo de Google Security, y el CVE reservado (CVE-2014-0160) fue creado el 3 de Diciembre de 2013:



Impacto tras explotación

La información que se podría obtener sería la siguiente:

    1.- Claves privadas
    2.- Usuarios y contraseñas utilizadas en servicios vulnerables
    3.- Información sensible utilizada por servicios vulnerables
    4.- Direcciones de memoria y su contenido que podría permitir evadir mecanismos de mitigación ante exploits.

¿Mi servidor es vulnerable?

Rápidamente, comenzaron a publicarse herramientas que permitían tanto comprobar si un servidor es vulnerable como obtener la información tras su explotación.


Servicio online en http://filippo.io/Heartbleed para comprobar si un servicio web es vulnerable

El caso más sonado fue el de Yahoo.com, cuya página de autenticación de usuarios login.yahoo.com ha sido vulnerable durante un día entero, corriendo imágenes de su explotación como la pólvora en redes sociales, mostrándose usuarios y contraseñas (en caso de encontrarse conectados en el momento del análisis).


Cómo corregir esta vulnerabilidad

Lo primero y más importante, actualizar la librería OpenSSL a una versión no vulnerable, a partir de la 1.0.1g. También se recomienda encarecidamente regenerar toda aquella información afectada, claves de usuarios, claves privadas... Esta tarea puede ser ardua y suponer un esfuerzo considerable, pero nadie nos asegura si, durante el período hasta la actualización de nuestros servicios vulnerables, pudiera haberse explotado este fallo para obtener de manera masiva información sensible.

Otro método para su corrección consiste en deshabilitar el soporte de Heartbeat en OpenSSL, recompilándolo con la opción -DOPENSSL_NO_HEARTBEATS

En este enlace del GIT de openssl se pueden ver las modificaciones realizadas sobre los ficheros d1_both.c y t1_lib.c que solventarían esta grave vulnerabilidad.

¿Qué páginas se encuentran afectadas?

Unas cuantas...

Se ha puesto a disposición de todos un listado del TOP 1000 portales web según el ranking de ALEXA, mostrando si son vulnerables o no. El listado corresponde con el estado de dichas webs durante el 8 de abril siendo confeccionada tras la ejecución de la herramienta de comprobación de manera masiva.


Muchas páginas de proyectos importantes, como Cloudflare que lo indica en un post dentro de su blog, tuvieron constancia de la vulnerabilidad una semana antes de su publicación, teniendo tiempo para corregir la vulnerabilidad en sus servidores. Otros muchos, parece que han hecho caso omiso aún habiendo tenido el privilegio de haber sido informados (ya que todo ha seguido las normas del responsible disclosure).

Existe una página considerada "oficial" de Heartbleed dedicada a intentar responder todas las preguntas referentes a esta vulnerabilidad: http://heartbleed.com .

En el siguiente listado disponible dentro del advisory en kb.cert.org se encuentran todos los fabricantes afectados hasta el momento.

Fuente: Securitybydefault
« Última modificación: Noviembre 23, 2014, 02:32:41 pm por Expermicid »


Desconectado stekor

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • PeliTime | Peliculas Online
    • Email
« Respuesta #1 en: Abril 10, 2014, 09:35:02 pm »
hola ANTRAX yo no se mucho sobre este tema del hacking pero de casualidad sabes como expotarlo?

https://github.com/FiloSottile/Heartbleed

Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 552
  • Actividad:
    3.33%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #2 en: Abril 11, 2014, 03:05:12 am »
hola ANTRAX yo no se mucho sobre este tema del hacking pero de casualidad sabes como expotarlo?

https://github.com/FiloSottile/Heartbleed
http://www.arthusu.com.mx/2014/04/openssl-heartbleed-vulnerability.html

espero que no lo tomen como spam XD :P ahi te explico como explotarla xD
Pentest - Hacking & Security Services

Contact me: arthusu@gmail.com

Desconectado morodog

  • *
  • Underc0der
  • Mensajes: 350
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: MorodoG
  • Twitter: m4r4d4g
« Respuesta #3 en: Abril 11, 2014, 05:03:31 am »
Gracias por la info! Razón no te falta Antrax, muy serio este bug.

Saludos.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5411
  • Actividad:
    20%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Abril 11, 2014, 08:29:24 am »
arthusu, puedes poner el post y el link a tu blog como fuente. Pero dejar solo el link, es spam


Desconectado ezephp

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Abril 11, 2014, 10:01:50 am »
buen post, pero me estuve fijando y habre puesto 30 webs para ver si habia alguna vulnerable, y no salio ni 1. Testeado con la web publicada para testear...

Ya no habran mas webs vulnerables??, o el testing no funciona bien?, solamente queria probar con 1 aver que onda...

 

¿Te gustó el post? COMPARTILO!



Vulnerabilidad en Kali Linux Sana 2.0 CVE-2015-2008 Auditoria Omar Rodriguez

Iniciado por DaRK UnLiMiTeD

Respuestas: 0
Vistas: 2768
Último mensaje Septiembre 28, 2015, 10:37:40 pm
por DaRK UnLiMiTeD
Dirty COW - CVE-2016-5195 explotando vulnerabilidad en el Kernel de Linux

Iniciado por BrowserNet

Respuestas: 5
Vistas: 4147
Último mensaje Diciembre 26, 2016, 03:44:26 am
por Dr4g0n4Y
Instalación de BadStore en VirtualBox [Vulnerabilidad virtual para practicar]

Iniciado por Stiuvert

Respuestas: 0
Vistas: 2717
Último mensaje Abril 23, 2012, 05:28:08 pm
por Stiuvert
Grave Vulnerabilidad en MySQL/MariaDB (Autenticación sin Password)

Iniciado por CalebBucker

Respuestas: 1
Vistas: 2631
Último mensaje Junio 12, 2012, 04:20:50 pm
por ANTRAX
[Tutorial] Vulnerabilidad CSRF By ShadinessDark [Colaboracion de Zero Bits]

Iniciado por dracko.rx

Respuestas: 0
Vistas: 2007
Último mensaje Febrero 24, 2010, 03:24:51 pm
por dracko.rx