Imagen estilizada de un candado flotante.

OpenSSL, la biblioteca de software más utilizada para implementar el cifrado de sitios web y correo electrónico, ha solucionado una vulnerabilidad de alto nivel que facilita a los piratas informáticos cerrar por completo una gran cantidad de servidores.

OpenSSL proporciona capacidades criptográficas comprobadas que implementan el Protocolo de seguridad de la capa de transporte, el sucesor de Secure Sockets Layer, que cifra el flujo de datos entre los servidores de Internet y los clientes finales. Las personas que desarrollan aplicaciones que usan TLS confían en OpenSSL para ahorrar tiempo y evitar errores de programación que a menudo ocurren cuando los no criptógrafos crean aplicaciones que usan cifrado complejo.

El papel crítico que juega OpenSSL en la seguridad de Internet se hizo evidente en 2014 cuando los piratas informáticos explotaron una vulnerabilidad crítica en la biblioteca de código fuente abierto que les permitió robar claves de cifrado, información de clientes y otros datos confidenciales de servidores de todo el mundo. Heartbleed, como se llamó a la vulnerabilidad, demostró cómo unas pocas líneas de código incorrecto pueden comprometer la seguridad de bancos, sitios de noticias, bufetes de abogados y más.

Se corrigió el error de denegación de servicio.

El jueves, los encargados de mantenimiento de OpenSSL informaron y solucionaron una vulnerabilidad que podría hacer que los servidores se bloqueen al recibir una solicitud creada con fines malintencionados de un usuario final no autenticado. CVE-2021-3449 es el resultado de un error de desreferenciación de puntero nulo en busca de la vulnerabilidad de denegación de servidor. Técnico criptográfico Filippo Valsorda dijo en twitter que es probable que el error se haya descubierto antes de lo que es ahora.

«De todos modos, parece que hoy podría colapsar la mayoría de los servidores OpenSSL en Internet», agregó.

Los piratas informáticos podrían aprovechar la vulnerabilidad enviando una solicitud de renegociación creada con fines malintencionados a un servidor durante el primer apretón de manos que crea una conexión segura entre un usuario final y un servidor.

«Un servidor OpenSSL TLS puede fallar si un cliente envía un mensaje de renegociación ClientHello creado con fines malintencionados», escriben los encargados del mantenimiento en una nota. «Si una renegociación de TLSv1.2 ClientHello omite la extensión Signature_algorithms (donde estaba en la extensión ClientHello original) pero contiene una extensión Signature_algorithms_cert, resultará en una desreferenciación del puntero NULL que dará como resultado un bloqueo y un ataque de denegación de servicio. «

Los supervisores calificaron la gravedad como alta. Los investigadores informaron sobre la vulnerabilidad de OpenSSL el 17 de marzo. Los desarrolladores de Nokia, Peter Kästle y Samuel Sapalski, pusieron la actualización a disposición.

Omisión de verificación de certificado

OpenSSL también abordó una vulnerabilidad separada que impedía que las aplicaciones, en casos marginales, reconocieran y rechazaran certificados TLS que no estaban firmados digitalmente por una autoridad de certificación confiable del navegador. La vulnerabilidad rastreada como CVE-2021-3450 involucra la interacción entre un indicador X509_V_FLAG_X509_STRICT, que se encuentra en el código, y varios parámetros.

El informe del jueves decía:

Si se ha configurado un «propósito», existe la posibilidad posterior de verificar si el certificado es una autoridad de certificación válida. Todos los valores denominados «propósito» implementados en libcrypto realizan esta comprobación. Por lo tanto, si se especifica un propósito, la cadena de certificados se rechazará incluso si se usó la bandera estricta. En las rutinas de comprobación de libssl para certificados de cliente y servidor, se especifica un propósito de forma predeterminada, pero una aplicación puede anularlo o eliminarlo.

Para verse afectada, una aplicación debe establecer explícitamente el indicador de verificación X509_V_FLAG_X509_STRICT y no especificar un propósito para la verificación del certificado o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito predeterminado.

Las versiones 1.1.1h y superiores de OpenSSL son vulnerables. OpenSSL 1.0.2 no se ve afectado por este problema. Los investigadores de Akamai, Xiang Ding y Benjamin Kaduk, descubrieron el error y lo informaron. Ha sido parcheado por Tomáš Mráz, un desarrollador de software que tiene contrato con OpenSSL Software Services.

Las aplicaciones que utilizan una versión vulnerable de OpenSSL deben actualizarse a OpenSSL 1.1.1k lo antes posible.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí