Caracasdigital

DROWN, un ataque presente en Venezuela

La vulnerabilidad de DROWN está presente en más de Miles de equipos en Venezuela

En esta era donde la informática y las telecomunicaciones son la base fundamental para el desarrollo y crecimiento de nuevas tecnologías, que nos permitan estar en un mundo interconectado, casi con la ubicuidad necesaria para estar realizando varias cosas a la vez, atender asuntos laborales, personales y recreacionales desde un mismo dispositivo, utilizando entonces aplicaciones y soluciones que a parte de ayudarnos con la productividad y la recreación, nos deben brindar unos minimos niveles de privacidad basado en esquemas de seguridad.

Cuando los niveles de seguridad no son los más óptimos, aparecen vulnerabilidades, que según definición de Wikipedia:

“Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido�.

Se pueden citar muchos ejemplos de vulnerabilidades, está el caso en que en su casa hay una computadora conectada a Internet, dónde también tiene configurada una cuenta de correo electrónico a través de la que recibe mensajes diariamente. También tiene instalado un antivirus que es capaz de chequear los mensajes electrónicos, incluidos los archivos que están adjuntos. Pero el antivirus lo instalo cuándo compró el equipo hace más de un año y no lo ha vuelto a actualizar así como tampoco el sistema operativo, En este caso su equipo es vulnerable a los virus más recientes que puedan llegar mediante su correo electrónico, ya que el antivirus no está actualizado y no sabe que éstos nuevos virus existen.

A pesar que exista la vulnerabilidad, no es cierto que el equipo se pueda dañar o deje de funcionar en lo inmediato, pero esta brecha le permite a un atacante puede aprovechar este punto débil para comprometer su equipo y toda la información contenida en él, todo lo anterior también es aplicable a dispositivos móviles.

Sobre esto se ha descubierto una vulnerabilidad de protocolos de seguridad cruzados que puede permitir descifrar sesiones TLS (Transport Layer Security) es una evolución del protocolo SSL (Secure Sockets Layer), si el servidor soporta SSL versión 2 o suites de cifrado marcadas como EXPORT, como por ejemplo Bleichenbacher RSA padding oracle.

Decrypting RSA withObsolete and Weakened eNcryption (descifrado de RSA con un cifrado obsoleto y debilitado); esta vulnerabilidad es de gran importancia, según las estimaciones un 33% de los sitios son vulnerables a este ataque, es un problema que afecta HTTPS y otros servicios que utilizan SSL / TLS que todavía soportan el viejo SSLv2 y permiten a un atacante forzar al servidor a utilizar esta versión vulnerable de SSL aunque el usuario este realizando una conexión TLS correctamente verificada.

Es importante saber que el tráfico entre clientes y servidores que no son vulnerables pueden ser descifrados haciendo uso de otro servidor que soporte SSLv2 y exportación de sistemas de cifrado (incluso con un protocolo diferente, como SMTP, IMAP o POP) comparte las claves RSA del servidor no vulnerable.

Haciendo una búsqueda en SHODAN, para Venezuela se consiguen 727,291 equipos indexados.

Imagen 1. Equipos indexados por SHODAN

De las cuales se encontraron servidores con soporte SSLv2 un total de 2,067 equipos, con servicios HTTPS, IMAP, POP3, SMTP.

Imagen 2. Servidores con Soporte SSLv2

Imagen 3. Equipos con Soporte SSLv2

Imagen 4. Ciudades donde hay más servidores con soporte SSLv2

Imagen 5. Proveedores con versiones de SSLv2

Los servicios que más usan esta versión de SSL en Venezuela se distribuyen, de acuerdo a SHODAN:

Imagen 6. Servicios con soporte SSLv2

Imagen 7. Versiones de SSL/TLS en conjunto con SSLv2

La imagen 7, muestra que el protocolo SSLv2, a pesar de haber sido declarado y se recomienda su desuso desde el año 2011. https://tools.ietf.org/html/rfc6176 muchos servicios siguen soportando este protocolo.

Imagen 8. Servidores que Soportan SSLv2

El número de dominios que aún mantiene uso del protocolo SSLv2, se puede apreciar en esta gráfica, de acuerdo a SHODAN.

Imagen 9. Dominios con soporte SSLv2

Sin duda y tomando en cuenta la imagen 7. Se puede observar que; aunque el protocolo SSLv2 fue reemplazado en el año 1996 por SSLv3 y posteriores versiones de TLS; muchos servicios siguen soportando SSLv2 a pesar de ser un protocolo inseguro, esto puede ser por falta de información o concientización sobre las vulnerabilidades asociadas a éste.

Adicionalmente, se observa que proveedores de servicios muy importantes para el país e incluso universidades se encuentran ante la posibilidad de este tipo de ataque DROWN, es importante hacer un llamado para ejecutar un test de seguridad sobre los protocolos de seguridad de las comunicaciones en internet.

Siendo DROWN una vulnerabilidad grave que afecta a HTTPS y otros servicios que dependen de SSL y TLS, algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que todos en Internet para navegar por la web, utilizar el correo electrónico, tienda en línea, y enviar mensajes instantáneos y sin terceros ser capaz de leer la comunicación.
Entonces DROWN permite a un atacante para romper el cifrado y leer o roban las comunicaciones sensibles, incluyendo contraseñas, números de tarjetas de crédito, los secretos comerciales o datos financieros. Nuestras mediciones indican un 33% de todos los servidores HTTPS son vulnerables al ataque.

¿Cómo puedo proteger a mi servidor?

InteliCorp Seguridad, empresa especializada en productos y servicios en la Seguridad de información y Seguridad informática, y en la ejecución de Pruebas de Penetración y Evaluación y Análisis de Vulnerabilidades, le puede ayudar a su empresa u organización a evaluar la existencia de esta vulnerabilidad y otras con la finalidad de determinar los niveles de Impacto sobre la operación y su negocio. Además de brindarle las recomendaciones para que puedan solucionarlas eficientemente o apoyarlos en el proceso de mitigación de la vulnerabilidad.

Para protegerse contra DROWN, operadores de servidores necesitan asegurarse de que sus claves privadas no se utilizan en cualquier lugar con el software de servidor que permite conexiones SSLv2. Esto incluye servidores web, servidores de SMTP, servidores IMAP y POP, y cualquier otro software que es compatible con SSL / TLS. Se puede utilizar el formulario de arriba para comprobar si el servidor parece estar expuestos al ataque.

SSLv2 incapacitantes puede ser complicado y depende del software de servidor específico. Le proporcionamos instrucciones aquí por varios productos comunes:

OpenSSL: OpenSSL es una biblioteca criptográfica utilizada en muchos productos de servidor. Para los usuarios de OpenSSL, la solución más fácil y recomendada es actualizar a una versión más reciente de OpenSSL. OpenSSL 1.0.2 usuarios deben actualizar a 1.0.2g. OpenSSL 1.0.1 usuarios deben actualizar a 1.0.1s. Los usuarios de las versiones anteriores de OpenSSL deben actualizar a cualquiera de estas versiones. Más detalles se pueden encontrar en esta entrada del blog OpenSSL.

(Actualizado 13 de marzo de 16:00 GMT) Microsoft IIS (Windows Server): Apoyo a SSLv2 en el servidor lado está activado por defecto sólo en las versiones del sistema operativo que se corresponden con IIS 7.0 y IIS 7.5, es decir, Windows Vista, Windows Server 2008, windows 7 y windows Server 2008R2. Este apoyo se puede desactivar en la subclave SSLv2 apropiado para "Servidor", tal como se describe en KB245030. Incluso si los usuarios no han tomado las medidas para desactivar SSLv2, las cifras de exportación de grado y 56 bits que hacen factible AHOGA no están soportados por defecto.

Red de Servicios de Seguridad (NSS): NSS es una biblioteca criptográfica común incorporado en muchos productos de servidor. NSS versiones 3.13 (lanzado en 2012) y por encima de SSLv2 deberían haber desactivado por defecto. (Un pequeño número de usuarios puede haber activado manualmente SSLv2 y será necesario tomar medidas para desactivarlo.) Los usuarios de versiones anteriores deben actualizar a una versión más reciente. Todavía recomendamos comprobar si su clave privada está expuesto en otro lugar, utilizando el formulario de arriba.

Mas información en https://drownattack.com/

Tweet