Hace aproximadamente 2 meses reportamos todo lo ocurrido con Heartbleed, el bug del popular protocolo de cifrado SSL que puso en riesgo a cientos de miles de servidores del mundo. La falla estuvo presente durante 2 años sin que nadie lo supiera y ahora surge una nueva vulnerabilidad; la diferencia es que esta vez su existencia se extiende a más de una década y media.
Este jueves, la fundación OpenSSL publicó un aviso en donde advierte a los usuarios del software que lo actualicen una vez más, pues surgió un bug con 16 años de antigüedad que hasta el momento no se había hecho público y que permite descifrar la encriptación de los datos que pasan a través del protocolo a cualquiera que sepa de su existencia. Tras enterarse de dicha falla, la fundación lanzó un parche y urge a aquellos que usan sus sistemas, a adoptarlo de inmediato.
La nueva vulnerabilidad fue descubierta por el investigador japonés Masashi Kikuchi. Lo que ocurre es que explota una porción del llamado “handshake” de OpenSSL en donde se establecen las conexiones cifradas conocidas como ChangeCipherSpec, el error permite al atacante forzar a la PC y al servidor a usar llaves poco seguras, lo que le da la posibilidad de descifrar y leer el tráfico que pasa entre ellos.
En un documento publicado por la firma de software Lepidum, se explica: “Básicamente, mientras tú y yo establecemos una conexión segura, un atacante inyecta un comando que nos engaña para que pensemos que estamos usando una contraseña privada cuando en realidad estamos usando una pública.”
A diferencia de Heartbleed que podía ser explotado por cualquier persona, este bug sólo permite acceso a un atacante localizado en algún lugar de la comunicación entre las computadoras involucradas, lo que minimiza su impacto, pero deja abierta la posibilidad de que cualquier individuo dentro de la misma red, descifre la información.
De acuerdo con Kukuchi, el error existe desde la primera versión de OpenSSL de 1998 y dice que a pesar de la enorme tasa de adopción de este sistema y del reciente escrutinio que causó Heartbleed, el protocolo aún no ha recibido la atención suficiente por parte de investigadores de seguridad. “La razón más importante de por qué el bug no fue encontrado en más de 16 años, es que las revisiones del código fueron insuficientes, especialmente por parte de expertos con experiencia en la implementación de TLS/SSL.”, agregó.
Deja tu comentario