OpenSSL corrige un error fatal que permite a los piratas informáticos bloquear servidores


Imagen estilizada de un candado flotante.

OpenSSL, la biblioteca de software más utilizada para implementar el cifrado de sitios web y correo electrónico, ha solucionado una vulnerabilidad de alto nivel que facilita a los piratas informáticos cerrar por completo una gran cantidad de servidores.

OpenSSL proporciona capacidades criptográficas probadas que implementan el Protocolo de seguridad de la capa de transporte, el sucesor de Secure Sockets Layer, que cifra el flujo de datos entre los servidores de Internet y los clientes finales. Las personas que desarrollan aplicaciones que utilizan TLS confían en OpenSSL para ahorrar tiempo y evitar errores de programación que suelen ocurrir cuando los no criptógrafos crean aplicaciones que utilizan cifrado complejo.

El papel crítico que juega OpenSSL en la seguridad de Internet se hizo evidente en 2014 cuando los piratas informáticos explotaron una vulnerabilidad crítica en la biblioteca de código fuente abierto que les permitió robar claves de cifrado, información de clientes y otros datos confidenciales de servidores de todo el mundo. Heartbleed, como se llamó a la vulnerabilidad, demostró cómo unas pocas líneas de código incorrecto pueden comprometer la seguridad de bancos, sitios de noticias, bufetes de abogados y más.

Se corrigió el error de denegación de servicio.

El jueves, los encargados de mantenimiento de OpenSSL informaron y solucionaron una vulnerabilidad que podría provocar que los servidores se bloqueen al recibir una solicitud creada con fines malintencionados de un usuario final no autenticado. CVE-2021-3449 es el resultado de un error de desreferenciación de puntero nulo en busca de la vulnerabilidad de Denegación de Servidor. Técnico de criptografía Filippo Valsorda, dijo en twitter que el error probablemente podría haberse descubierto antes de lo que es ahora.

«De todos modos, parece que hoy podría colapsar la mayoría de los servidores OpenSSL en Internet», agregó.

Los piratas informáticos podrían aprovechar la vulnerabilidad enviando una solicitud de renegociación creada con fines malintencionados a un servidor durante el primer apretón de manos que crea una conexión segura entre un usuario final y un servidor.

«Un servidor OpenSSL TLS puede fallar si un cliente envía un mensaje de renegociación ClientHello creado con fines malintencionados», escriben los encargados del mantenimiento en una nota. «En una renegociación de TLSv1.2, si ClientHello omite la extensión Signature_algorithms (donde estaba en la extensión ClientHello original) pero contiene una extensión Signature_algorithms_cert, esto da como resultado una desreferenciación del puntero NULL que conduce a un bloqueo y a un ataque de denegación de servicio. . «

Los supervisores calificaron la gravedad como alta. Los investigadores informaron sobre la vulnerabilidad de OpenSSL el 17 de marzo. Los desarrolladores de Nokia, Peter Kästle y Samuel Sapalski, pusieron la actualización a disposición.

Omisión de verificación de certificado

OpenSSL también abordó una vulnerabilidad separada que impedía que las aplicaciones, en casos marginales, reconocieran y rechazaran los certificados TLS que no estaban firmados digitalmente por una autoridad de certificación confiable del navegador. La vulnerabilidad rastreada como CVE-2021-3450 involucra la interacción entre un indicador X509_V_FLAG_X509_STRICT, que se encuentra en el código, y varios parámetros.

El consejo del jueves declaró:

Si se ha configurado un «propósito», existe la posibilidad posterior de verificar si el certificado es una autoridad de certificación válida. Todos los valores de «propósito» nombrados implementados en libcrypto realizan esta verificación. Por lo tanto, si se especifica un propósito, la cadena de certificados se rechazará incluso si se utilizó la bandera estricta. De forma predeterminada, las rutinas de verificación de libssl para certificados de cliente y servidor especifican un propósito, pero una aplicación puede anularlo o eliminarlo.

Para verse afectada, una aplicación debe establecer explícitamente el indicador de validación X509_V_FLAG_X509_STRICT y no especificar un propósito para la validación del certificado o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito predeterminado.

Las versiones 1.1.1h y superiores de OpenSSL son vulnerables. OpenSSL 1.0.2 no se ve afectado por este problema. Los investigadores de Akamai, Xiang Ding y Benjamin Kaduk, descubrieron el error y lo informaron. Fue parcheado por el desarrollador de Akamai, Tomáš Mráz.

Las aplicaciones que utilizan una versión vulnerable de OpenSSL deben actualizarse a OpenSSL 1.1.1k lo antes posible.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *