SSLv3 muere por las mordidas de POODLE

El día martes de esta misma semana (14 de Octubre) Los investigadores de seguridad Bodo Möller, Thai Duong y Krzysztof Kotowicz de Google, hicieron público una vulnerabilidad que afecta al protocolo SSLv3 a la que se le asigno el código CVE-2014-3566. La investigación fue presentada en un documento en septiembre de este mismo año.

Esta vulnerabilidad conocida como POODLE (Padding Oracle On Downgraded Legacy Encryption) permitiría a un atacante obtener información secreta en texto claro que en teoría estaría protegido por el cifrado de SSLv3. La debilidad de SSLv3 tiene su origen en los cifrados RC4 o CBC en los cuales esta basado.

De acuerdo a los investigadores, el POODLE podría ser explotado por un atacante de tipo HOMBRE-EN-EL-MEDIO (MITM) utilizando técnicas aprendidas con el ataque tipo BEAST (Browser Exploit Against SSL/TLS) sobre TLS 1.0.

¿Que hacer para mitigar esta vulnerabilidad?

Esta vulnerabilidad puede ser explotada solo si esta habilitado el uso del protocolo SSLv3 en los servidores y en los navegadores de los usuarios, por lo tanto, si se deshabilita el uso de dichos protocolos y se deja solo soporte a TLS quedaría remediado el problema. Seguramente estarán pensando que esto tendría un gran impacto en la base instalada de usuarios que todavía usan SSL en vez de TLS para establecer sus conexiones cifradas, pero un estudio de cloudflare demuestra que actualmente la base instalada de usuarios que utilizan solo SSL es muy baja y esta calculada en 1.12%

¿Como proteger sus servidores APACHE?

Para desactivar el soporte al protocolo SSLv3 en Apache se debe modificar el archivo de configuración de apache y agregarle la siguiente línea:

SSLProtocol All -SSLv2 -SSLv3

Donde se le dice explícitamente al servidor que no se debe tener soporte para SSLv2 y SSLv3.

Luego se verifica el archivo de configuración y se reinicia el servicio.

apachectl configtest

sudo service apache2 restart

¿Como proteger sus servidores IIS?

Las modificaciones que se deben realizar en IIS, para eliminar el soporte a SSLv2 y SSLv3 estan muy bien documentadas en la página de Microsoft

¿Como verificar sus servidores?

La página web de Qualys tiene una herramienta muy buena para realizar este tipo de revisiones llamada SSL Labs, mantenida por Ivan Ristić.

https://www.ssllabs.com/ssltest/index.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s