Claves de cifrado privadas se han extraído con éxito varias veces desde un servidor de red privada virtual que ejecuta el ampliamente utilizadoAplicación OpenVPNcon una versión vulnerable de OpenSSL, añadiendo aún más la urgencia de la convocatoria de los operadores para proteger completamente sus sistemas contra el fallo catastrófico Heartbleed.
Los desarrolladores que mantienen el paquete OpenVPN código abierto previamenteadvirtieron que las claves privadas que sustentan sesiones VPN eran vulnerables a Heartbleed. Pero hasta el miércoles, no hubo una confirmación pública de un robo tan devastadora era factible en entornos del mundo real, dijo Fredrik Strömberg, el operador de un servicio de VPN basada en Suecia, que llevó a cabo los ataques a un servidor de prueba. Un atacante realizar un ataque malicioso podría utilizar el mismo exploit para hacerse pasar por el servidor VPN de un objetivo y, en algunos casos, descifrar tráfico que pasa entre un usuario final y el servidor real VPN.
Confirmación del miércoles significa cualquier servidor en servidor y probables OpenVPN utilizando cualquier otra aplicación de VPN que pueden confiar en OpenSSL-debe seguir el camino de varios pasos para recuperarse de Heartbleed, que es uno de los errores más graves que nunca para golpear el Internet. El primer paso es actualizar la biblioteca OpenSSL a la última versión. Ese paso es crucial, pero de ninguna manera suficiente. Debido Heartbleed pudo haber filtrado la clave privada que subyace en todas las sesiones de VPN, los usuarios actualizados pueden todavía ser susceptible a los ataques de cualquier persona que pueda haber explotado la vulnerabilidad y se hicieron con la tecla. Para recuperarse por completo de Heartbleed, los administradores también deben revocar sus viejos certificados de clave, asegurar que todas las aplicaciones de los usuarios finales se actualizan con una lista de revocación de certificados de corriente y vuelva a emitir nuevas llaves.
No hay comentarios:
Publicar un comentario