[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Vulnerabilidade no OpenSSL - Atualização 1]

CSIRT - UNICAMP security em unicamp.br
Qui Abr 24 15:55:47 -03 2014 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

Date: Thu, 24 Apr 2014 11:05:08 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no OpenSSL - Atualização 1

-----BEGIN PGP SIGNED MESSAGE-----

O CAIS publicou no dia 10 de abril de 2014 [link para:
http://www.rnp.br/cais/alertas/2014/openssl.html] um alerta sobre a
vulnerabilidade na biblioteca OpenSSL, amplamente utilizada para prover
comunicação segura e privacidade na internet, para diversos serviços e
aplicativos.

Esta vulnerabilidade permite roubar informações protegidas, com isto,
sua exploração poderá expor senhas ou outras informações sensíveis.
Diante disto, o CAIS lança uma atualização do alerta "Vulnerabilidade no
OpenSSL".

Nesta atualização, salienta-se a importância da substituição dos
certificados digitais e das senhas nos sistemas e serviços afetados pela
falha, bem como a geração de novas chaves secretas.

Impacto

Ainda que as recomendações do alerta anterior já tenham sido aplicadas,
as informações sensíveis, como senhas, chaves secretas e certificados
digitais podem ter sido comprometidas. Da mesma forma, um atacante pode
espionar as comunicações, roubar dados dos sistemas e serviços entre
outras atividades ilícitas.

O CAIS já registrou tentativas de exploração dessa vulnerabilidade.

Recomendações

- - Verificar e executar as recomendações do alerta "Vulnerabilidade no
OpenSSL" [link para: http://www.rnp.br/cais/alertas/2014/openssl.html],
caso ainda não tenham sido aplicadas. A saber:

	* Executar o comando abaixo em um sistema UNIX-LIKE ou Windows e 
	verifique a versão instalada:
	#openssl version -a

	OBS: Para sistemas Windows, o comando acima deve conter também o
	diretório de instalação do OpenSSL.

	* Ferramenta online para realizar o teste:
	https://www.ssllabs.com/ssltest/index.html

	* Ferramenta NMAP:
	https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

- - Corrigir a vulnerabilidade identificada

	* Atualizar o OpenSSL para a versão 1.0.1g ou a mais recente recomendada
	pelos desenvolvedores.

	* Desabilitar o suporte ao OpenSSL Heartbeat
	Este problema pode ser tratado recompilando o OpenSSL com a flag
	-DOPENSSL_NO_HEARTBEATS.
	Aplicativos que utilizam o OpenSSL, como o Apache ou Nginx, deverão ser
	reiniciados para que as mudanças sejam efetivadas.

	* Utilizar Perfect Forward Secrecy (PFS)
	PFS pode ajudar a minimizar os danos em caso de vazamento de uma chave
	secreta fazendo com que seja mais difícil decifrar o tráfego de rede já
	capturado.

	* Implementar assinaturas no IDS

Visando mitigar qualquer risco associado a um possível comprometimento
de senhas, chaves secretas ou certificados, o CAIS recomenda 
adicionalmente:

- - Trocar certificados de serviços que utilizem SSL, como imaps, smtps,
ftps, pops, (Open)VPN, https

- - Trocar senhas de serviços hospedados em servidores considerados
vulneráveis

- - Promover ações que incentivem os usuários da sua instituição a
realizarem a troca de senhas associados a sistemas e serviços
corporativos (Intranet, wiki, VPN entre outros)

- - Promover ações de conscientização entre os usuários da sua instituição
para troca de senhas de serviços externos (Gmail, Yahoo mail,
Hotmail/Outlook entre outros). Veja tabela abaixo:
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Informamos também que já existem atualizações para correção das
vulnerabilidades em VMware. As versões afetadas, assim como as
atualizações encontram-se em:
http://www.vmware.com/security/advisories/VMSA-2014-0004.html


Mais informações

https://isc.sans.edu/forums/diary/+Patch+Now+OpenSSL+Heartbleed+Vulnerability/17921http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
http://www.openssl.org/news/secadv_20140407.txt
http://arstechnica.com/security/2014/04/confirmed-nasty-heartbleed-bug-exposes-openvpn-private-keys-too/
http://www.vmware.com/security/advisories/VMSA-2014-0004.html

Identificador CVE (http://cve.mitre.org):
CVE-2014-0160

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp.

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBU1kaTukli63F4U8VAQFWfQP/buPHQsKKQzEsH35TJdxHq7CMLSczFz69
VVVSoSp8yoXW4nPRdBQwvWkFFeEG4EBmgAHLhN1M2gc8e5hOChTdqhWTK/QFFsbc
y0oM/rYlibF1vAAtBApu2eCc/imoUwlqsn7wtIQblAlLxFJ7Inavje5D4Sg1aKKN
/gCa3ps8zX4=
=KK/T
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L