• Alerta

Falha crítica no OpenSSL (HeartBleed)

OBSERVAÇÃO: O conteúdo desse site foi baseado do site do CAIS/RNP.

Alertamos sobre a recente vulnerabilidade presente na biblioteca OpenSSL, que é utilizada nos protocolos SSL, TLS e DTLS. A biblioteca OpenSSL é utilizada para prover comunicação segura e privacidade na internet para diversos serviços e aplicativos, tais como: sistemas de email, navegadores web, mensagens instantâneas(IM), VPNs, entre outros.

A vulnerabilidade no OpenSSL identificada no dia 07/04/2014 permite que qualquer usuário na internet consiga ler blocos de código diretamente da memória dos servidores e clientes.

Identificador CVE: CVE-2014-0160

Impacto

Um usuário mal intencionado, através de pacotes manipulados, pode ser capaz de recuperar as chaves secretas utilizadas nos sistemas para cifrar informações sensíveis. Dessa forma, um atacante pode espionar as comunicações, roubar dados diretamente dos sistemas/serviços e enganar os usuários se fazendo passar por um fornecedor de serviços.

Até a divulgação deste alerta, existem relatos de exploração da vulnerabilidade no OpenSSL.

Recomendações

Verificar se o sistema está vulnerável.

Até a divulgação desse alerta, existem relatos de exploração da vulnerabilidade no OpenSSL.

Execute o comando abaixo em um sistema UNIX-LIKE ou Windows e verifique a versão instalada.

openssl version -a

OBS: Para sistemas Windows, o comando acima deve conter também o diretório de instalação do OpenSSL.

• Ferramenta online para realizar o teste: https://www.ssllabs.com/ssltest/index.html
• Ferramenta NMAP: https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

Versões afetadas

• OpenSSL 1.0.1f
• OpenSSL 1.0.1e
• OpenSSL 1.0.1d
• OpenSSL 1.0.1c
• OpenSSL 1.0.1b
• OpenSSL 1.0.1a
• OpenSSL 1.0.1

Como corrigir

Para corrigir a vulnerabilidade identificada você pode usar uma das estratégias abaixo:

• Atualizar o OpenSSL para a versão 1.0.1g e qualquer outro binário que seja estaticamente ligado ao openssl (exemplo: pacote libssl em algumas distribuições). Como exemplo, para a distribuição Debian estável (7.4, apelidado Wheezy):

apt-get install libssl1.0.0=1.0.1e-2+deb7u5 openssl= 1.0.1e-2+deb7u6

• Desabilitar o suporte ao OpenSSL Heartbeat, recompilando o OpenSSL com a flag -DOPENSSL_NO_HEARTBEATS.

Para outras versões do Debian e outros sistemas operacionais, consulte nossas referências.

Aplicativos que utilizam o OpenSSL, como o Apache ou Nginx, deverão ser reiniciados para que as mudanças sejam efetivadas.

Se você desconfiar que seu sistema foi comprometido, sua chave privada do certificado SSL pode ter sido capturada, o que permitiria a um atacante decifrar tráfego anterior e futuro criptografado com aquele certificado, além de permitir a personificação de seu servidor. Nesses casos recomenda-se solicitar a revogação do certificado e a geração de outro.

Dicas adicionais

Utilize Perfect Forward Secrecy (PFS)

PFS pode ajudar a minimizar os danos em caso de vazamento de uma chave secreta fazendo com que seja mais difícil decifrar o tráfego de rede já capturado.

Implementar assinaturas no IDS

http://blog.fox-it.com/2014/04/08/OpenSSL-heartbleed-bug-live-blog/

Material de apoio

• Gravação Webinar SSL HeartBleed
• Slides da Webinar sobre SSL Heartbleed
• Vídeo exploração SSL HeartBleed
• CERT.Bahia - Modelo de justificativa para troca de certificado SSL

Mais informações

• https://isc.sans.edu/forums/diary/+Patch+Now+OpenSSL+Heartbleed+Vulnerability/17921
• http://blog.fox-it.com/2014/04/08/OpenSSL-heartbleed-bug-live-blog/
• http://www.OpenSSL.org/news/vulnerabilities.html
• http://heartbleed.com/
• http://www.OpenSSL.org/news/secadv_20140407.txt
• http://exame.abril.com.br/tecnologia/noticias/falha-grave-no-OpenSSL-deixa-dados-sigilosos-vulneraveis?page=2
• http://www.debian.org/security/2014/dsa-2896

Recomendamos que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.