Heartbleed consente a un criminale di leggere da remoto la memoria dei sistemi protetti dalle versioni vulnerabili di OpenSsl. I dati che possono essere rubati comprendono certificati, private key, informazioni personali di identificazione (Pii) e qualsiasi altro dato sensibile.
Per chi non ha familiarità con OpenSsl si tratta di un toolkit Open Source che implementa i protocolli Secure Sockets Layer (Ssl v2/v3) e Transport Layer Security (Tls v1) nonché la libreria crittografica generica. E’ implementato in diversi ambienti come server email e sistemi Vpn, può essere integrato anche all’interno dei sistemi operativi. Qualsiasi sistema che utilizza la versione vulnerabile di OpenSsl può essere sfruttato.
I consigli di Websense
Websense consiglia di verificare se nel vostro ambiente sono usate istanze vulnerabili di OpenSsl, e se è così dovreste aggiornare immediatamente OpenSsl o il software che usa OpenSsl.
Codenomicon, uno dei soggetti che ha partecipato a questa scoperta, ha fornito alcuni dettagli su questa vulnerabilità e suggerito alcune azioni per mitigare l’evento:
– ricompilare l’attuale versione OpenSsl con l’opzione DOPENSSL_NO_HEARTBEATS (per disabilitare il componente vulnerabile);
– revocare ed emettere tutti i certificati degli ultimi due anni (da quando il bug è attivo);
– generare nuove private key;
– invalidare tutte le session key e i cookies;
– tutti gli utenti che sospettano di aver interagito con un server Web che è o era vulnerabile a questa falla dovrebbero effettuare il reset delle proprie password.
E’ chiaro che i log Web Server non mostreranno se la vulnerabilità è stata usata, rendendo così difficile rilevare un attacco. Websense ThreatSeeker Intelligence Cloud ha identificato che diversi tool Proof Of Concept sono stati eseguiti online e questo può essere usato per dimostrare se un determinato sito Web è vulnerabile a CVE-2014-0160.
Websense ha avuto accesso a report che indicavano come i primi 600 dei Top 10mila siti Web (in base alla classificazione di Alexa) sono ancora vulnerabili.
