Heartbleed amenaza productos de Cisco y Juniper

15 Abr 2014 en Seguridad

Cisco Systems sigue ampliando la lista de sus productos que pueden resultar vulnerables ante la explotación Heartbleed. Al día de ayer, la cantidad de productos potencialmente afectados alcanzaba a más de ochenta.

La brecha de Heartbleed fue detectada a principio de este mes de abril y en principio la atención de los investigadores se centró en los servidores que podrían verse afectados. Pero luego las cosas se pusieron más serias, ya que el nueve de abril, Cisco Systems y Jupiter Networks anunciaron que algunos de sus productos

de networking eran vulnerables ante esta amenaza. En ese momento prometieron mantener a sus clientes informados acerca de los peligros que podían enfrentar y también acerca de las actividades que estos proveedores realizaban para neutralizar esta amenaza.

En un blog de la compañía Cisco Systems, se reconoció la trascendencia de este problema. Nigel Glennie, director de comunicación a nivel global de Cisco, expresó que el hecho de reconocer rápida y abiertamente las vulnerabilidades de seguridad es algo que su compañía debe hacer en su carácter de proveedor confiable.

Según lo que se puede encontrar en el sitio Hearbleed.com, esta falla explota una vulnerabilidad presente en ciertas versiones del software OpenSSL (Open Secure Socket Layer) y permite que cualquier persona en Internet pueda leer la memoria en esos sistemas protegidos por versiones vulnerables del software OpenSSL. Esto incluye comprometer a las claves secretas que se utilizan para identificar a los proveedores de servicio y a las que encriptan el tráfico. También pueden registrar los nombres y contraseñas de usuarios además de otros contenidos. De esta forma, los atacantes pueden espiar comunicaciones, robar datos directamente de los servicios y usuarios y hasta simular servicios y usuarios.

Una explotación podría mostrar hasta 64 KB de memoria en un servidor afectado. Las vulnerabilidades presentes en equipamientos de Cisco y Juniper permiten que alguien que utiliza Heartbleed pueda acceder a bancos de memoria de los iPhones, computadoras, sesiones Webex y dispositivos móviles de usuarios.

Tatu Ylonen, inventor del encriptado SSH (Secure Shell), dijo que “un atacante puede utilizar esta brecha para conseguir las claves de encriptado utilizadas en un sitio Web. De esa manera, un atacante o agencia de espionaje puede leer todas las comunicaciones. Prácticamente puede ser usado para conseguir la clave privada que un servidor utiliza para su seguridad y la de sus comunicaciones que recibe. Y lo hace violando las certificaciones usadas para proteger el sitio Web, lo que también le permite descifrar sesiones pasadas y realizar ataques con participación humana, frecuentemente fraudes bancarios y robo de identidad.

En un comunicado, Cisco Systems informó la lista de productos que son vulnerables a Heartbleed y la lista de los que no lo son. También dio una lista de aquellos que, sin confirmar aún, podrían llegar a ser vulnerables. En principio, se confirmó que más de dos docenas de categorías son vulnerables, incluyendo iP iPhones, productos de networking por celdas, además de las tecnologías de los sistemas cloud de video de TelePresence y Webex. A la vez, voceros de la compañía informaron que se están investigando más de 80 otros sistemas, desde switches de redes a routers, firewalls, players de medios digitales, productos LAN inalámbricos, software de comunicaciones, equipamiento y codificadores.

En su comunicado de advertencia, Cisco Systems informa que el impacto de la vulnerabilidad en los productos Cisco varía dependiendo de cuál sea el producto. “Una explotación exitosa de la brecha podría permitir acceso a porciones de memoria de un cliente o servidor. Destaca que las porciones de memoria violadas podrían contener información crítica tal como claves privadas.

Por su parte, la gente de Juniper también emitió un parte de advertencia. En el mismo se informa que la compañía tiene nueve productos afectados por el bug Heatbleed. La lista incluye a algunas versiones de sus productos de redes virtuales privadas (VPN), al sistema operativo Junos y al software de seguridad Junos Pulse. La compañía está liberando patches con los que actualizar sus productos y darles así protección frente a Heartbleed. Por otra parte, la compañía dio una lista de los productos que no se ven afectados. Un alto ejecutivo comentó que la gente de la compañía trabaja intensamente en que los clientes reciban las actualizaciones con la mayor prioridad.