Poodle, un nuevo golpe al modelo de seguridad SSL

Tres investigadores de Google han descubierto recientemente un bug en el protocolo de criptografía SSL 3.0 (SSLv3 – Secure Sockets Layer). El bug, conocido como Poodle (CVE-2014-3566) podría ser utilizado por alguien externo para interceptar datos. Estos datos supuestamente deberían estar encriptados por el protocolo HTTPS durante la comunicación entre los usuarios y los servicios webs a los que acceden.

Según los investigadores, no es una vulnerabilidad en la implementación de los protocolos SSL/TLS, sino una vulnerabilidad en el diseño del protocolo SSLv3 a la hora de utilizar bloques cifrados. Tampoco es un defecto en el modelo clave pública/privada utilizado por los certificados SSL, por lo que los usuarios con certificados instalados en sus servidores no tendrán que reemplazarlos.

Se cree que el bug no es un fallo tan grave como Heartbleed, que afectó a OpenSSL y se detectó en abril de este año. En el fallo Poodle, los atacantes necesitan tener una posición de privilegio en la red para poder hacer el exploit. Sin embargo, la utilización extendida de Hotspots o wifis públicas si que hacen este ataque un problema real.

Tanto los usuarios como los administradores de servidores tienen que realizar cambios en sus equipos de tal forma que no se utilice el protocolo SSLv3 en las comunicaciones.

Usuario final

El usuario debe comprobar que el protocolo SSL 3.0 está deshabilitado en su navegador. En este enlace se puede ver como desactivar el protocolo SSLv3 en distintos navegadores.

Firefox ya ha comunicado que en próximas versiones desactivará la utilización de este protocolo:

Por último recomendamos que estemos atentos durante estos días a la recepción de correos de phising que nos soliciten cambiar nuestras credenciales. En ningún caso deberemos acceder a estos sitios web falsos que intentarán conseguir nuestros datos de acceso.

Administradores de Servidores

En estas web podremos consultar si nuestro servicio es vulnerable o no a Poodle:

https://www.tinfoilsecurity.com/poodle

https://www.ssllabs.com/ssltest/index.html

A continuación indicamos como solucionar el bug Poodle en diferentes entornos:

RedHat/CentOS

Si administramos un servidor con sistema operativo RedHat/CentOS, desde RedHat ya se ha publicado una versión actualizada del software OpenSSL. Esta actualización realmente no soluciona el bug, sino que utiliza la opción TLS_FALLBACK_SCSV, un mecanismo que previene a los atacantes a forzar a los navegadores a utilizar SSL 3.0.

Para actualizar OpenSSL ejecutaremos:

yum update openssl

Más información: wiki.centos.org/Security/POODLE

Windows

Poodle está presente en todas las versiones de windows 2003, 2008 y 2012, independientemente de si tenemos una versión 32 o 64bit. La solución a adoptar es deshabilitar los protocolos SSL v2.0 y v3.0.

Este cambio se deber hacer modificando el registro, lo cual se debe hacer con cuidado. En este enlace de Microsoft se indica como hacer este cambio:  http://support.microsoft.com/kb/187498.

Una vez realizado el cambio, deberemos reiniciar nuestro servidor para que los cambios se confirmen.

Apache

En el caso de que administremos un servidor web, probablemente utilicemos un servidor Apache con mod_ssl, editaremos el fichero de configuración correspondiente deshabilitando los protocolos SSLv3:

  1. Opción 1: deshabilitar SSLv2 y SSLv3 (habilitar todo menos SSLv2 y SSLv3):
    SSLProtocol All -SSLv2 -SSLv3
  2. Opción 2: deshabilitar todo excepto TLSv1. Indicaremos una de estas dos líneas según la versión de RedHat/CentOS que tengamos. Normalmente será la segunda línea de las que indicamos a continuación:
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLProtocol -All +TLSv1

Una vez hechos los cambios reiniciaremos el servicio apache. En un servidor CentOS, el fichero de configuración de mod_ssl se encuentra en /etc/httpd/conf.d/ssl.conf

Más información: https://access.redhat.com/solutions/1232413

Nginx

Otro servidor web que va ganando adeptos es Nginx. Si queremos proteger nuestro servidor web Nginx frente a Poodle tendremos que hacer una configuración similar a Apache, deshabilitando el protocolo SSLv3:

ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;  # don’t use SSLv3 ref: POODLE

cPanel

cPanel es un panel de gestión que nos permite administrar de forma completa nuestro servidor mediante un entorno web. Si tenemos un servidor cPanel, seguramente utilicemos como servidor web Apache, como servidor POP3/IMAP Dovecot y como servidor SMTP Exim. A continuación indicamos como proteger a nuestro servidor para estos tres elementos:

Apache (HTTP/HTTPS):

  1. Accedemos al administrador WHM / Service Configuration / Apache Configuration / Include Editor / Pre Main Include.
  2. Elegimos como versión, todas las versiones
  3. Añadimos el siguiente código en la caja de texto que aparece:
    SSLHonorCipherOrder On
    SSLProtocol -All +TLSv1
  4. Pulsamos el botón de actualizar para reiniciar el servidor Apache.

Dovecot (POP3/IMAP):

  1. Accedemos al administrador WHM / Service Configuration / Mailserver Configuration
  2. Cambiamos la casilla nombrada como SSL Cipher List a:
    ALL:-SSLv3:RC4:-SSLv2:!ADH:+HIGH:+MEDIUM:-LOW:-EXP

Exim (SMTP):

  1. Accedemos al administrador WHM / Service Configuration / Exim Configuration Manager / Advanced Editor
  2. Cambiamos la casilla nombrada como tls_require_ciphers a:
    ALL:-SSLv3:RC4:-SSLv2:!ADH:+HIGH:+MEDIUM:-LOW:-EXP

Otras plataformas

RedHat ha publicado diferentes páginas donde se indica como proteger nuestros servidores frente a la vulnerabilidad Poodle:

  1. Tomcat/Jboss: https://access.redhat.com/solutions/1232233
  2. vsftpd: https://access.redhat.com/solutions/1234773
  3. Otros servicios: https://access.redhat.com/articles/1232123

 

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: