logoCert_sugestao2.png



Falha crítica no SSL (Poodle)



Fonte: https://www.us-cert.gov/ncas/alerts/TA14-290A

Alertamos sobre uma recente vulnerabilidade de exploração remota presente no OpenSSL.

É uma falha antiga (15 anos) em uma especificação antiga do SSL (3.0), explorando essa falha é possível ter acesso ao dado trafegado obtido via MITM.

Os navegadores modernos acessam prioritariamente as versões mais novas desse protocolo (Ex. TLS 1.0, 1.1, or 1.2) para conexões HTTPS, mas quando os navegadores não conseguem acessar via esses modelos mais novos, eles automaticamente acessam via a especificação antiga do SSL (3.0).

O problema se agrava quando os atacantes causam falhas de conexões de conexão HTTPS de especificações mais novas do SSL, fazendo assim com que o navegador acesse via especificação insegura.

Identificador CVE (http://cve.mitre.org): CVE-2014-3566

Vetores de ataque

Os navegadores modernos acessam prioritariamente as versões mais novas desse protocolo (Ex. TLS 1.0, 1.1, or 1.2) para conexões HTTPS, mas quando os navegadores não conseguem acessar via esses modelos mais novos, eles automaticamente acessam via a especificação antiga do SSL (3.0).

O problema se agrava quando os atacantes causam falhas de conexões de conexão HTTPS de especificações mais novas do SSL, fazendo assim com que o navegador acesse via especificação insegura.

Impacto

Um usuário mal intencionado poderia ter acesso ao dado criptografado pela implementação SSL 3.0.

Não há indicativo se essa vulnerabilidade será corrigida, uma vez que a implementação já foi descontinuada.

Verificação

Verificação do servidor

  1. Para verificar se o seu serviço está vulnerável, baixe o script do nmap nesse link.
  2. Coloque o script na pasta correta (Normalmente é /usr/share/nmap/scripts)
  3. Execute o comando abaixo:
# nmap -sV --version-light --script ssl-poodle -p 443 <host> ou <rede/mascara>

Verificação do navegador

Para verificar se seu navegador está vulnerável, ou seja, se ele está configurado para acessar a implementação SSL 3.0, acesse o site abaixo:

https://www.ssllabs.com/ssltest/viewMyClient.html

Versões afetadas

  • OpenSSL 1.0.1 todas as letras anteriores a 1.0.1j
  • OpenSSL 1.0.0 todas as letras anteriores a 1.0.0o.
  • OpenSSL 0.9.8 todas as letras anteriores a 0.9.8zc.

Como corrigir

Servidores

Para corrigir a vulnerabilidade identificada você deve atualizar o seu openssl para versão mais nova.

Até o momento da publicação desse alerta, ainda não há correção nas versões estáveis dos navegadores

Como mitigar o problema

Servidores Apache

Remova o suporte SSL 3.0 da sua conexão HTTPS.

* Execute os comandos abaixo para verificar onde se encontra a string informada:

# grep -i -r "SSLProtocol" /etc/apache2 ou # grep -i -r "SSLProtocol" /etc/httpd

  • Caso não encontre com os comandos acima, execute os comandos abaixo para continuar na busca

# grep -i -r "SSLEngine" /etc/apache2 ou # grep -i -r "SSLEngine" /etc/httpd

  • No arquivo encontrado, adicione a seguinte linha "SSLProtocol all -SSLv2 -SSLv3"
  • Efetue reload do serviço apache

Desabilite o uso do SSL 3.0 em seu navegador

Firefox

Instale esse addon, que é responsável por desabilitar o uso do SSL 3.0.

Internet Explorer 6

Esse navegador acessa por padrão SSL 3.0, sendo assim precisamos mudar essa configuração.

Acesse propriedade de internet do navegador, vá até a aba avançada. Procure o tópico de segurança. Desmarque a opção "Use SSL 2.0" e "Use SSL 3.0", marque a opção "Use TLS 1.0", como pode verificar na imagem abaixo:

ieadvanced.gif

Mais informações

Recomendamos que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.