Esta misma semana, el día 7 de abril, se ha descubierto un importante fallo de seguridad en la librería OpenSSL, utilizada por la mayoría de servidores web que utilizan plataformas libres como Apache o nginx. Es uno de los fallos de seguridad más graves que se han detectado en los últimos años ya que compromete la seguridad de gran número de servicios de internet actuales, y sobre todo por el tiempo que ha estado en vigor, ya que desde la versión 1.0.1 hasta la 1.0.1f han pasado dos años.
Por poner un ejemplo de la gravedad de este bug, Yahoo! ha estado expuesto un día entero a esta brecha de seguridad, lo que ha hecho correr como la pólvora infinidad de tweets mostrando información de las cuentas y contraseñas de usuarios logueados en ese momento y que han podido ser capturados. También la página de Adicae ha informado de que las bancas online de entidades financieras como el Banco Sabadell han estado comprometidas, podéis ver el informe sobre las entidades bancarias afectadas en España aquí.
Poniéndonos en situación
En la versión 1.0.1 de OpenSSL se implementó la funcionalidad de enviar Heartbeats (latidos) entre el cliente y el servidor, como una manera de comprobar que la conexión seguía activa.
Esta vulnerabilidad nos permite conseguir acceso a un bloque de memoria de 64K por "latido", en los que se pueden almacenar una importante cantidad de información relativa a nuestros datos de usuario y contraseña.
Lo peor de esta vulnerabilidad es que es prácticamente indetectable.
Versiones afectadas de OpenSSL
Lo primero que debemos saber son las versiones que están afectadas, que son las que van de la versión 1.0.1 a la 1.0.1f. Las versiones anteriores, como la 0.98 y la 1.0 no son vulnerables ya que no implementaban esta funcionalidad de los Heartbeats.
OpenSSL sacó una actualización el día 8 de abril de 2014 (sólo 1 día después de que el bug viera la luz), junto con una advertencia de seguridad donde nos recomienda la actualización inmediata a todas aquellas versiones que se han visto afectadas por el bug.
También hay que tener en cuenta aquellos sistemas libres que incluian una versión afectada por el bug, como Ubuntu 12.04.4 LTS, OpenSuse 12.2 o CentOS 6.5, por lo que recomendamos actuar sobre ellos lo antes posible.
Os dejamos también un enlace de VMware sobre los sistemas que se han visto afectados.
Como comprobar si nuestro servidor está afectado por Heartbleed
Han surgido diferentes páginas en internet para comprobar si nuestro servidor se ha visto afectado o no por dicha vulnerabilidad, como por ejemplo esta.
Consejos para eliminar/mitigar la vulnerabilidad
Lo primero de todo, actualizar la librería OpenSSL en todos aquellos sistemas que cuenten con alguna de las versiones vulnerables instaladas.
Posteriormente, recomendaríamos a todos los usuarios, que cambiasen la contraseña de todos los servicios que utilicen en internet, ya que muchos de ellos se habrán visto expuestos a esta vulnerabilidad y nadie nos garantiza que no hayan podido acceder a nuestros datos durante el tiempo que esta vulnerabilidad ha estado presente en los servidores. Este cambio de contraseñas, aunque necesario, no servirá de nada si no actualizamos la librería de OpenSSL en los servidores afectados.
A estas alturas todos los grandes proveedores de servicios, como Yahoo, GMail, etc... así que ya deberíamos poder cambiar nuestras contraseñas para mitigar ese grave fallo de seguridad.
Información para nuestros clientes
Queremos informar a todos nuestros clientes que desde que se ha sacado la actualización de OpenSSL ya ha sido implementada en nuestros servidores web, con lo que dicho problema ha sido solventado de manera urgente para que no afectara a las web alojadas en nuestros servidores.
Si necesitas comprobar la seguridad de tus servidores o que actulicemos tu versión de OpenSSL, no dudes en ponerte en contacto con nosotros, la seguridad de nuestra información y sobre todo, la de nuestros clientes, es siempre lo más importante.