Alerta ante vulnerabilidades en OpenSSL
La presente publicación resume un informe que puede ser leido y descargado en su totalidad, en formato PDF, a través del siguiente enlace: 10CND21-00050-01 OpenSSL.
El jueves 25 de marzo de 2021, OpenSSL Project informo de dos vulnerabilidades catalogadas
críticas.
Vulnerabilidades Críticas
CVE-2021-3450
CVE-2021-3449
OpenSSL es una de las bibliotecas de software libre más comúnmente utilizadas para implementar cifrado en sitios y sistemas web.
Esta biblioteca puede estar en uso en, por ejemplo:
Algún webserver que implemente SSL/TLS: HTTPS.
Algún dispositivo que implemente seguridad en la conexión (firewalls o balanceadores, por
ejemplo).
Componentes de administración segura de dispositivos.
Implementaciones de sistemas de interoperación segura (API).
Algún sistema web y que implemente seguridad para las conexiones entre el cliente y el
servidor.
En atención a la severidad de la vulnerabilidad y a la publicación de un “exploit”, se recomienda
identificar las versiones que están en uso en la institución y proceder urgentemente a actualizarlas a las versiones señaladas por el fabricante. Complementariamente se recomienda verificar todos sus activos como, por ejemplo, servidores de aplicaciones, servidores sitios web, aplicaciones y productos de terceros.
La explotación exitosa de estas vulnerabilidades podría autenticar un certificado de CA fraudulento o pueden realizar ataque de denegación de servicio (DoS), comprometiendo a los sistemas y a la infraestructura que la contiene.
Resumen de Vulnerabilidad Criticas
CVE-2021-3450 : Esta vulnerabilidad que afecta a la verificación previa para confirmar
que los certificados son válidos por la autoridad de certificación (CA). Podría permitir que un atacante pueda evitar por completo la verificación de un certificado, al no comprobar correctamente la validez de los certificados. Para verse afectado, se debe tener activada la marca X509_V_FLAG_X509_STRICT, ya que no viene activada de manera predeterminada.
CVE-2021-3449: : Esta vulnerabilidad existe debido a un error de desreferencia del
puntero NULL al procesar las renegociaciones de TLSv1.2. Un atacante remoto puede enviar un
mensaje ClientHello de renegociación creado con fines malintencionados. Esta vulnerabilidad
permite a un atacante remoto realizar un ataque de denegación de servicio (DoS)
Industria OpenSSL
OpenSSL es utilizado en ampliamente en el mercado, por ese motivo se adjunta algunas referencias que indican productos utilizan OpenSSL y su mitigación.
Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
Netapp: https://security.netapp.com/advisory/ntap-20210326-0006/
FredBSD: https://www.freebsd.org/security/advisories/FreeBSD-SA-21:07.openssl.asc
Redhat: https://access.redhat.com/security/cve/CVE-2021-3450
https://access.redhat.com/security/cve/CVE-2021-3449
Ubuntu: https://ubuntu.com/security/cve-2021-3449
Debian: https://security-tracker.debian.org/tracker/CVE-2021-3450
https://security-tracker.debian.org/tracker/CVE-2021-3449
Amazon: https://alas.aws.amazon.com/AL2/ALAS-2021-1622.html
F5: https://support.f5.com/csp/article/K83623027
SuSe: https://www.suse.com/security/cve/CVE-2021-3449/
Versiones Afectadas
Las siguientes versiones se ven afectadas:
CVE-2021-3450
- OpenSSL versiones 1.1.1h, 1.1.1i, 1.1.1j
CVE-2021-3449
- OpenSSL versiones 1.1.1x anteriores a 1.1.1k
OpenSSL 1.0.2 y 1.1.0 están fuera de soporte y ya no reciben actualizaciones. Se recomienda a los
usuarios de estas versiones actualizar a OpenSSL 1.1.1k.
Mitigacion
Actualizar a la versión OpenSSL 1.1.1K
En productos cerrados, verificar con el fabricante si existen actualizaciones
Exploit publicados
La verificación de existencia de exploit para vulnerabilidades es relevante pues impone una presión adicional, en cuanto a que se expone de manera abierta la forma y herramienta para explotarla.
El siguiente programa implementa un exploit de prueba de concepto de la vulnerabilidad CVE-2021-3449 que afecta a los servidores OpenSSL anteriores a 1.1.1k y que aceptan la renegociación segura de TLSv1.2: https://github.com/terorie/cve-2021-3449.