Il 7 aprile 2014 è stata scoperta una vulnerabilità 0-day estremamente critica che, secondo le stime, mette a rischio due terzi dell’intero web. Anche colossi come Yahoo sono coinvolti.

Heartbleed

Il problema riguarda OpenSSL, ossia l’implementazione open-source delle librerie per la gestione del Secure Socket Layer: in pratica è il software che viene usato da tutti i siti che utilizzano il webserver Apache e il protocollo HTTPS.
 
Il termine “sito” ha in questo caso l’accezione più vasta: comprende infatti qualunque dispositivo raggiungibile via web, sia esso un server, un firewall, un server di VPN o un NAS.
 
Cosa comporta questa vulnerabilità?
 
In sostanza, un aggressore può usarla per raccogliere dati sensibili, chiavi di crittografia e password dai sistemi interessati.

Il problema riguarda l’implementazione nella funzionalità Heartbeat TLS / DTLS in tutte le versioni di OpenSSL dalla 1.0.1 alla 1.0.1f: per questo, con una colorita metafora, è stato chiamato Heartbleed Bug, che suona come “bug del cuore che sanguina”.

Si noti che il codice exploit che sfrutta questa vulnerabilità è pubblicamente disponibile. Ulteriori dettagli possono essere trovati nel bollettino CERT/CC Vulnerability Note VU#720951.

Tutti i produttori di sistemi che usano la libreria OpenSSL si sono messi al riparo (o ci si stanno mettendo) attraverso il rilascio di nuove versioni delle applicazioni che usino OpenSSL 1.0.1g, versione imune al problema e già disponibile.

Quindi il consiglio è aggiornare prima possibile.

E’ da sottolineare che qualunque chiave generata da una versione vulnerabile di OpenSSL deve essere considerata compromessa, e quindi rigenerata dopo l’installazione della patch.

Qualora questo non sia possibile a breve giro, si consiglia l’implementazione della Perfect Forward Secrecy per diminuire il danno causato dalla compromissione delle chiavi.

Per verificare se i sistemi sono interessati dal problema, sono disponibili test online. Eccone alcuni: 
E’ sufficiente inserire l’indirizzo pubblico del server da testare (compresa la porta, se non standard).


Condividi sui Social Network