[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Vulnerabilidade no OpenSSL - Atualização 1]
CSIRT - UNICAMP
security em unicamp.br
Qui Abr 24 15:55:47 -03 2014
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
Date: Thu, 24 Apr 2014 11:05:08 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no OpenSSL - Atualização 1
-----BEGIN PGP SIGNED MESSAGE-----
O CAIS publicou no dia 10 de abril de 2014 [link para:
http://www.rnp.br/cais/alertas/2014/openssl.html] um alerta sobre a
vulnerabilidade na biblioteca OpenSSL, amplamente utilizada para prover
comunicação segura e privacidade na internet, para diversos serviços e
aplicativos.
Esta vulnerabilidade permite roubar informações protegidas, com isto,
sua exploração poderá expor senhas ou outras informações sensíveis.
Diante disto, o CAIS lança uma atualização do alerta "Vulnerabilidade no
OpenSSL".
Nesta atualização, salienta-se a importância da substituição dos
certificados digitais e das senhas nos sistemas e serviços afetados pela
falha, bem como a geração de novas chaves secretas.
Impacto
Ainda que as recomendações do alerta anterior já tenham sido aplicadas,
as informações sensíveis, como senhas, chaves secretas e certificados
digitais podem ter sido comprometidas. Da mesma forma, um atacante pode
espionar as comunicações, roubar dados dos sistemas e serviços entre
outras atividades ilícitas.
O CAIS já registrou tentativas de exploração dessa vulnerabilidade.
Recomendações
- - Verificar e executar as recomendações do alerta "Vulnerabilidade no
OpenSSL" [link para: http://www.rnp.br/cais/alertas/2014/openssl.html],
caso ainda não tenham sido aplicadas. A saber:
* Executar o comando abaixo em um sistema UNIX-LIKE ou Windows e
verifique a versão instalada:
#openssl version -a
OBS: Para sistemas Windows, o comando acima deve conter também o
diretório de instalação do OpenSSL.
* Ferramenta online para realizar o teste:
https://www.ssllabs.com/ssltest/index.html
* Ferramenta NMAP:
https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse
- - Corrigir a vulnerabilidade identificada
* Atualizar o OpenSSL para a versão 1.0.1g ou a mais recente recomendada
pelos desenvolvedores.
* Desabilitar o suporte ao OpenSSL Heartbeat
Este problema pode ser tratado recompilando o OpenSSL com a flag
-DOPENSSL_NO_HEARTBEATS.
Aplicativos que utilizam o OpenSSL, como o Apache ou Nginx, deverão ser
reiniciados para que as mudanças sejam efetivadas.
* Utilizar Perfect Forward Secrecy (PFS)
PFS pode ajudar a minimizar os danos em caso de vazamento de uma chave
secreta fazendo com que seja mais difícil decifrar o tráfego de rede já
capturado.
* Implementar assinaturas no IDS
Visando mitigar qualquer risco associado a um possível comprometimento
de senhas, chaves secretas ou certificados, o CAIS recomenda
adicionalmente:
- - Trocar certificados de serviços que utilizem SSL, como imaps, smtps,
ftps, pops, (Open)VPN, https
- - Trocar senhas de serviços hospedados em servidores considerados
vulneráveis
- - Promover ações que incentivem os usuários da sua instituição a
realizarem a troca de senhas associados a sistemas e serviços
corporativos (Intranet, wiki, VPN entre outros)
- - Promover ações de conscientização entre os usuários da sua instituição
para troca de senhas de serviços externos (Gmail, Yahoo mail,
Hotmail/Outlook entre outros). Veja tabela abaixo:
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
Informamos também que já existem atualizações para correção das
vulnerabilidades em VMware. As versões afetadas, assim como as
atualizações encontram-se em:
http://www.vmware.com/security/advisories/VMSA-2014-0004.html
Mais informações
https://isc.sans.edu/forums/diary/+Patch+Now+OpenSSL+Heartbleed+Vulnerability/17921http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
http://www.openssl.org/news/secadv_20140407.txt
http://arstechnica.com/security/2014/04/confirmed-nasty-heartbleed-bug-exposes-openvpn-private-keys-too/
http://www.vmware.com/security/advisories/VMSA-2014-0004.html
Identificador CVE (http://cve.mitre.org):
CVE-2014-0160
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBU1kaTukli63F4U8VAQFWfQP/buPHQsKKQzEsH35TJdxHq7CMLSczFz69
VVVSoSp8yoXW4nPRdBQwvWkFFeEG4EBmgAHLhN1M2gc8e5hOChTdqhWTK/QFFsbc
y0oM/rYlibF1vAAtBApu2eCc/imoUwlqsn7wtIQblAlLxFJ7Inavje5D4Sg1aKKN
/gCa3ps8zX4=
=KK/T
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L