Vulnerabilidad Heartbleed: Riesgos dentro de su red

2 de mayo de 2014

Vulnerabilidad Heartbleed: Riesgos dentro de su red

Se ha hablado mucho del impacto global de Heartbleed. Primero, tuvimos todas las descripciones de Heartbleed; mi favorita fue la de xkcd. Luego vimos advertencias de que tendríamos que cambiar nuestra contraseña en sitios web públicos. A eso le siguió una advertencia de que, dado que las claves privadas de los certificados podrían recuperarse explotando Heartbleed, debíamos cambiar nuestras contraseñas ahora, esperar a que los sitios web cambiaran sus certificados y volver a cambiar nuestras contraseñas.

Lo que ha recibido mucha menos atención es el hecho de que muchos de nuestros productos empresariales habituales (por ejemplo, routers, cortafuegos, proxies web) dentro de nuestra infraestructura también son susceptibles a Heartbleed. Los boletines de Cisco, Juniper Networks y Blue Coat indican un uso generalizado de OpenSSL, el software en el que existe el fallo Heartbleed, en estos productos. Incluso los sistemas de control industrial de empresas como Siemens tienen esta vulnerabilidad, sobre la que Arik Hesseldahl escribió recientemente en Re/code.net. Y, a diferencia de los sitios web de cara al público, muchos de los cuales ya han sido objeto de actualizaciones para corregir el fallo, la disponibilidad y despliegue de parches para todos sus sistemas de infraestructura le golpea de forma inesperada, incluyendo la necesidad de actualizar a las versiones más recientes de software que probablemente esté ejecutando, lo que requiere ciclos de pruebas antes de poder desplegarlo.

*Cómo funciona el fallo Heartbleed de* *xkcd*

Evaluación de la vulnerabilidad Heartbleed en redes internas

Para empezar, si las direcciones IP utilizadas para gestionar sus routers, cortafuegos y otros sistemas de infraestructura son accesibles desde Internet sin acceso VPN (considerado una mala práctica de seguridad), debería estar muy preocupado y ya debería haber eliminado el acceso directo o parcheado su sistema. Suponiendo que las direcciones IP de gestión sólo son accesibles desde el interior de su red, el peor de los casos es el siguiente:

Un atacante entra en su red a través de malware u otra forma de ataque;
El atacante realiza un reconocimiento y encuentra las interfaces de gestión de sus sistemas de infraestructura;
El atacante utiliza la presencia de Heartbleed en esos sistemas de infraestructura para leer la memoria de los sistemas, recuperando las credenciales administrativas utilizadas recientemente para iniciar sesión en el sistema y, posiblemente, incluso la clave privada del certificado que asegura la conexión; \
El atacante utiliza las credenciales robadas para iniciar sesión y reconfigurar el sistema o, en caso de que no sean sólo credenciales de la cuenta local, acceder a otros recursos no relacionados.

Evaluación paso a paso del riesgo de vulnerabilidad Heartbleed

Paso 1: Asumir el compromiso

‍Aceptaque esto te puede pasar; las organizaciones tienen brechas de malware todo el tiempo, por lo que debemos asumir que ha sucedido o puede suceder.

Paso 2: Implantar una solución de detección de amenazas

Es de esperar que disponga de una solución de seguridad para detectar los escaneos realizados en la fase de reconocimiento de un ataque dirigido. Si no la tiene, tenemos una para que la evalúe e implemente.

Paso 3: Protegerse contra los exploits internos de Heartbleed

Un atacante que ahora está dentro de su red y utiliza Heartbleed para obtener acceso a su sistema de infraestructura es obviamente muy preocupante. Sería estupendo que dispusiera de una solución de seguridad que pudiera buscar este tipo de ataques dentro de su red. Si no la tiene, estaremos encantados de proporcionarle una para que la evalúe e implemente ;-) Aunque gran parte de los recientes informes de prensa se han centrado en el robo de claves privadas, la pérdida de la clave privada resulta ser menos amenazadora en una red empresarial.

Para utilizar la clave privada, el atacante tiene que escuchar otras conexiones al mismo sistema o debe ser capaz de hacerse pasar por el sistema. En los viejos tiempos de los concentradores, cuando Ethernet era realmente un medio compartido, escuchar el tráfico de otra máquina era tan sencillo como poner la tarjeta de interfaz de red en modo "promiscuo". Pero con los conmutadores, sólo ves el tráfico de difusión, multidifusión o destinado a tu máquina.

La forma clásica de suplantación es a través de trucos ARP y sólo funciona en la subred en la que se encuentra el host del atacante. Si las interfaces de gestión de los sistemas están en una subred separada, a menudo incluso en una VLAN separada, la suplantación ARP no funcionará. Por tanto, aunque el atacante pueda acceder a la clave privada del sistema, explotar la disponibilidad de la clave privada no es tan sencillo como parece. Esto contrasta fuertemente con el problema que tienen los sitios web públicos con Heartbleed - no pueden asumir que el tráfico no puede ser fisgoneado aguas arriba y con todos los trucos de DNS que existen, tampoco pueden asumir que alguien no será capaz de hacerse pasar por ellos con éxito.

Paso 4: Gestionar las credenciales y la seguridad de la identidad

Aquí es donde surge la verdadera ansiedad. Si has seguido las mejores prácticas de seguridad y has integrado la autenticación administrativa en tus sistemas de infraestructura con una infraestructura estándar de gestión de identidades (por ejemplo, Active Directory), las credenciales robadas serán probablemente las llaves del reino. Pueden utilizarse para acceder al propio sistema o a prácticamente cualquier cosa a la que puedan acceder los administradores del sistema.

Identificación de la superficie de ataque Heartbleed en sus redes internas

Puede que parchee todos sus routers, conmutadores y cortafuegos, pero se olvide de parchear una impresora en un lugar oscuro que tiene la misma integración de autenticación que su infraestructura más importante.

Es sólo cuestión de tiempo -en realidad, probablemente ya esté ocurriendo- que veamos ataques selectivos que utilicen Heartbleed como una de las armas del arsenal de los atacantes para adquirir credenciales de cuentas clave y utilizarlas para llegar a las joyas de la corona.

En otras palabras, Heartbleed es tan complicado por dentro como por fuera.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Preguntas frecuentes

¿Qué es el Heartbleed (CVE-2014-0160)?

Heartbleed es un fallo de seguridad en la biblioteca OpenSSL, que permite a los atacantes leer datos sensibles de la memoria de un servidor.

¿Qué medidas deben tomarse para parchear Heartbleed en los sistemas internos?

Para parchear Heartbleed, las organizaciones deben actualizar sus bibliotecas OpenSSL a la última versión que corrige el fallo. Además, deben revocar y volver a emitir los certificados SSL/TLS y restablecer las contraseñas según sea necesario para asegurarse de que no se utilizan credenciales comprometidas.

¿Cómo explotan los atacantes Heartbleed en redes internas?

Los atacantes aprovechan Heartbleed enviando peticiones falsas a un servidor vulnerable, que responde con datos confidenciales de su memoria. Esto puede incluir nombres de usuario, contraseñas, claves privadas y otra información confidencial.

¿Cómo pueden ayudar las soluciones de seguridad a mitigar los riesgos de Heartbleed?

Las soluciones de seguridad como los sistemas de detección de intrusiones (IDS), los cortafuegos y las herramientas de gestión de vulnerabilidades pueden ayudar a detectar y bloquear los exploits de Heartbleed. Las actualizaciones periódicas y los parches de estas soluciones son esenciales para protegerse de las vulnerabilidades conocidas.

¿Se han producido recientemente incidentes relacionados con exploits de Heartbleed?

Aunque Heartbleed fue el más destacado en 2014, siguen produciéndose incidentes ocasionales cuando los sistemas siguen sin parchear. La supervisión periódica de los avisos de seguridad y los informes de incidentes ayuda a mantenerse informado sobre los exploits recientes.

¿Cómo pueden las organizaciones detectar las vulnerabilidades Heartbleed en su red?

Las organizaciones pueden detectar las vulnerabilidades Heartbleed utilizando escáneres de vulnerabilidades y herramientas diseñadas para comprobar la presencia del fallo Heartbleed en sus sistemas. También son eficaces las auditorías periódicas y las evaluaciones de seguridad automatizadas.

¿Cuáles son los riesgos de no abordar Heartbleed en los sistemas internos?

Si no se aborda el problema de Heartbleed, los sistemas internos quedan expuestos a filtraciones de datos, accesos no autorizados y posibles pérdidas de información confidencial. Esto puede provocar pérdidas económicas, daños a la reputación y problemas de cumplimiento.

¿Qué tipos de infraestructuras están más expuestas a Heartbleed?

Los servidores y dispositivos que ejecutan versiones vulnerables de OpenSSL son los que corren mayor riesgo. Esto incluye servidores web, servidores de correo electrónico y cualquier dispositivo en red que utilice las versiones de OpenSSL afectadas.

¿Cómo pueden ayudar las soluciones de seguridad a mitigar los riesgos de Heartbleed?

Las repercusiones a largo plazo incluyen una mayor concienciación sobre la necesidad de actualizaciones periódicas de la seguridad y la mejora de las prácticas de seguridad. Las organizaciones también pueden implantar controles más estrictos y programas de gestión de vulnerabilidades más rigurosos.

¿Qué buenas prácticas pueden evitar los ataques de Heartbleed en las redes internas?

Las mejores prácticas incluyen mantener actualizado OpenSSL, escanear regularmente en busca de vulnerabilidades, implementar fuertes controles de acceso y educar al personal sobre higiene de seguridad. También son fundamentales las auditorías de seguridad periódicas y los planes de respuesta a incidentes.