Vulnerabilidade no OpenSSL, DROWN expõe novos desafios da segurança

Passados menos de dois anos da descoberta do Heartbleed, mais uma vulnerabilidade foi encontrada na biblioteca OpenSSL, uma implementação de código aberto dos protocolos SSL e TLS com forte criptografia usada em sistemas de todo o mundo. O DROWN, nome dado à nova falha, afeta servidores HTTPS e outros serviços que dependem de SSL e TLS. Acredita-se que 33% dos servidores HTTPS estejam vulneráveis, incluindo 25% dos maiores domínios HTTPS e 22% de todos os sites tidos como confiáveis pelos navegadores.

O ataque explora as falhas de uma versão já antiga do SSL, mas ainda disponível, a SSLv2. O protocolo foi lançado na década de 1990 e já está obsoleto há um tempo, porém, ainda é encontrado em muitos servidores, seja por padrão ou em razão de más configurações, negligência ou pela presença de dispositivos antigos.

A brecha quebra a criptografia e expõe comunicações e informações da web e de servidores de e-mail e VPNs, incluindo senhas, números de cartões de crédito, segredos industriais e outros dados sensíveis. Até máquinas que não usam SSLv2 estão vulneráveis se o servidor com o qual se comunicam suporta o protocolo antigo. O ataque usa as falhas da versão já aposentada para atacar a segurança de conexões feitas sob protocolos completamente diferentes.

A mantenedora da OpenSSL já disponibilizou uma atualização para lidar com o DROWN e outras vulnerabilidades em seu software de código aberto. O update desabilita o SSLv2 como padrão, bem como outras configurações fracas do SSLv3 e versões posteriores.

O que podemos aprender com o DROWN

O DROWN revela um conflito já antigo entre as atualizações de segurança e a retrocompatibilidade com versões antigas, algo que continua sendo exigido pelos usuários e que, como demonstrado, pode ser de grande ajuda para os hackers.

A falha também mostra uma grande dificuldade presente na maioria das empresas: manter a engenharia de software e a criptografia em dia. Mais uma vez, as organizações são obrigadas a encarar os perigos da criptografia e das configurações obsoletas e da falta de testes.

Ainda que não use, qualquer servidor que permita conexões com SSLv2 está vulnerável ao DROWN. Muitas empresas reusam o mesmo certificado e a mesma chave em seus servidores de web e e-mail, por exemplo. Nesse caso, se o servidor de e-mail suporta SSLv2 e o servidor de web não aceita, um hacker pode tirar vantagem disso para quebrar conexões TLS do servidor.

Não se trata de uma vulnerabilidade tão potencialmente devastadora quanto o Heartbleed, por exemplo, mas é algo que merece atenção por se tratar de um ataque prático, que pode ser executado sem muitos custos para o criminoso, visando alvos de grande valor. A única maneira de deter a brecha é desabilitando o SSLv2 de todos os servidores.

O DROWN também lembra as empresas sobre a necessidade de testar todos os servidores (incluindo servidores web, e-mail, FTP, entre outros) para garantir que as configurações funcionem da maneira esperada. A vulnerabilidade não deveria ser algo tão preocupante se houvesse testes para garantir que as máquinas não fossem capazes de se conectar usando uma versão ultrapassada do SSL.

Nesse caso, a inspeção manual será de extrema importância para lidar com a falha, pois mesmo os servidores HTTPS portadores do certificado PCI-DSS, que já aboliu o uso do SSLv2, podem estar reusando chaves privadas em outro servidor (como servidor de e-mail, por exemplo) que tenha suporte para SSLv2.

Além de testar todos os servidores para garantir que todas as configurações desabilitem o SSLv2 (de preferência, o SSLv3 também), as empresas devem agir rapidamente para fazer o upgrade para versões mais recentes do OpenSSL.

Fonte: http://computerworld.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *