Desde o fenômeno Heartbleed, a massiva vulnerabilidade no OpenSSL que expôs milhões de servidores no mundo todo, muito mais atenção tem sido dirigida para possíveis falhas/vulnerabilidades nesse software gratuito que criptografa comunicações.
Não se esperava que com toda a repercussão mundial e com os avisos publicados que um mês depois da divulgação ainda existissem mais de 300 mil servidores vulneráveis à mesma.
Dois meses depois do Heartbleed, a OpenSSL publicou patches para outras vulnerabilidades encontradas; nenhuma tão grave como a anterior, porém algumas com mais de uma década de existência e outras potencialmente graves. Uma vez mais, é hora de atualizar o software. A seguir detalhamos as 5 falhas mais importantes:
- CVE-2014-0224: Vulnerabilidade MITM (Man In The Middle) nos protocolos SSL/TLS
Na existência de um servidor e um cliente vulneráveis, um atacante poderia explorar esta vulnerabilidade forçando ambos a utilizarem chaves pouco seguras durante o handshake (quando conexões criptografadas são estabelecidas), o que o permitiria descriptografar e comprometer o tráfego entre ambas partes.
- CVE-2014-0221: Falha de recursividade no protocolo DTLS
Ao enviar um handshake inválido do tipo DTLS a um cliente OpenSSL DTLS, o código pode ser programado para provocar uma negação de serviço. Aplicativos que utilizam o OpenSSL como cliente DTLS são as únicas afetadas por essa falha.
- CVE-2014-0195: Vulnerabilidade por fragmento DTLS inválido
Ao enviar fragmentos DTLS inválidos a um cliente ou um servidor OpenSSL, é possível causar um ataque de transbordamento de dados. Sería possível explorar este transbordamento para executar códigos arbitrarios
- CVE-2014-0198 y CVE-2010-5298: Falhas na função ssl3_read_bytes e do_ssl3_write (funções encontradas no processo de handshake)
Nos poucos casos em que os SSL_MODE_RELEASE_BUFFERS estão habilitados, é possível causar negação de serviços se a variável apontada por um ponteiro em uma operação de desreferência é nula. Nessas condições (que não vem habilitadas por padrão e são pouco comuns), também seria possível para um atacante a injeção de dados remotamente devido a condição de corrida causada pela função ssl3_read_bytes.
- CVE-2014-3470: Negação de serviço através do ECDH (Protocolo de estabelecimento de chaves de criptografia públicas)
Os clientes OpenSSL TLS que têm ciphersuites ECDH habilitadas poderiam correr o risco de um ataque de negação de serviços.
Mais detalhes sobre as vulnerabilidades no OpenSSL estão disponíveis no site da organização.
É importante destacar que não todas as versões são vulneráveis a todas as falhas e que, seja qual for a versão utilizada, patches e atualizações são constantemente disponibilizadas e devem ser instaladas o quanto antes.
Autor Ilya Lopes, ESET
