Alerta ante vulnerabilidades en OpenSSL

La presente publicación resume un informe que puede ser leido y descargado en su totalidad, en formato PDF, a través del siguiente enlace: 10CND21-00050-01 OpenSSL.

El jueves 25 de marzo de 2021, OpenSSL Project informo de dos vulnerabilidades catalogadas
críticas.

Vulnerabilidades Críticas
 CVE-2021-3450
 CVE-2021-3449

OpenSSL es una de las bibliotecas de software libre más comúnmente utilizadas para implementar cifrado en sitios y sistemas web.

Esta biblioteca puede estar en uso en, por ejemplo:
 Algún webserver que implemente SSL/TLS: HTTPS.
 Algún dispositivo que implemente seguridad en la conexión (firewalls o balanceadores, por
ejemplo).
 Componentes de administración segura de dispositivos.
 Implementaciones de sistemas de interoperación segura (API).
 Algún sistema web y que implemente seguridad para las conexiones entre el cliente y el
servidor.

En atención a la severidad de la vulnerabilidad y a la publicación de un “exploit”, se recomienda
identificar las versiones que están en uso en la institución y proceder urgentemente a actualizarlas a las versiones señaladas por el fabricante. Complementariamente se recomienda verificar todos sus activos como, por ejemplo, servidores de aplicaciones, servidores sitios web, aplicaciones y productos de terceros.

La explotación exitosa de estas vulnerabilidades podría autenticar un certificado de CA fraudulento o pueden realizar ataque de denegación de servicio (DoS), comprometiendo a los sistemas y a la infraestructura que la contiene.

Resumen de Vulnerabilidad Criticas

CVE-2021-3450 : Esta vulnerabilidad que afecta a la verificación previa para confirmar
que los certificados son válidos por la autoridad de certificación (CA). Podría permitir que un atacante pueda evitar por completo la verificación de un certificado, al no comprobar correctamente la validez de los certificados. Para verse afectado, se debe tener activada la marca X509_V_FLAG_X509_STRICT, ya que no viene activada de manera predeterminada.

CVE-2021-3449: : Esta vulnerabilidad existe debido a un error de desreferencia del
puntero NULL al procesar las renegociaciones de TLSv1.2. Un atacante remoto puede enviar un
mensaje ClientHello de renegociación creado con fines malintencionados. Esta vulnerabilidad
permite a un atacante remoto realizar un ataque de denegación de servicio (DoS)

Industria OpenSSL

OpenSSL es utilizado en ampliamente en el mercado, por ese motivo se adjunta algunas referencias que indican productos utilizan OpenSSL y su mitigación.

Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd

Netapp: https://security.netapp.com/advisory/ntap-20210326-0006/

FredBSD: https://www.freebsd.org/security/advisories/FreeBSD-SA-21:07.openssl.asc

Redhat: https://access.redhat.com/security/cve/CVE-2021-3450
https://access.redhat.com/security/cve/CVE-2021-3449

Ubuntu: https://ubuntu.com/security/cve-2021-3449

Debian: https://security-tracker.debian.org/tracker/CVE-2021-3450
https://security-tracker.debian.org/tracker/CVE-2021-3449

Amazon: https://alas.aws.amazon.com/AL2/ALAS-2021-1622.html

F5: https://support.f5.com/csp/article/K83623027

SuSe: https://www.suse.com/security/cve/CVE-2021-3449/

Versiones Afectadas
Las siguientes versiones se ven afectadas:

CVE-2021-3450
– OpenSSL versiones 1.1.1h, 1.1.1i, 1.1.1j

CVE-2021-3449
– OpenSSL versiones 1.1.1x anteriores a 1.1.1k

OpenSSL 1.0.2 y 1.1.0 están fuera de soporte y ya no reciben actualizaciones. Se recomienda a los
usuarios de estas versiones actualizar a OpenSSL 1.1.1k.

Mitigacion
 Actualizar a la versión OpenSSL 1.1.1K
 En productos cerrados, verificar con el fabricante si existen actualizaciones

Exploit publicados
La verificación de existencia de exploit para vulnerabilidades es relevante pues impone una presión adicional, en cuanto a que se expone de manera abierta la forma y herramienta para explotarla.

El siguiente programa implementa un exploit de prueba de concepto de la vulnerabilidad CVE-2021-3449 que afecta a los servidores OpenSSL anteriores a 1.1.1k y que aceptan la renegociación segura de TLSv1.2: https://github.com/terorie/cve-2021-3449.

Alerta ante vulnerabilidades en OpenSSL