INFORMATION LEAKAGE

[TLS/SSL] Logjam: Vulnerabilidad Grave en el intercambio de claves Diffie-Hellman

by on
0

Estimados lectores,

En el día de hoy (hace menos de 24 horas para ser exacto) se publicó una importante vulnerabilidad en el protocolo TLS que permite a un atacante, mediante un man-in-the-middle, bajar las llaves de cifrado de una conexión con un servidor que permita el intercambio de llaves de Diffie Hellman a tan solo 512 bits. Este tipo de cifrado es por supuesto fácilmente crackeable por hackers más o menos despiertos, aunque también se rumorea que 1024 (valor al que también puede downgradearse si cliente/servidor no soportan 512 y sí 1024bits) es fácilmente accesible de crackear también.

Para colmo (aunque ya no se por qué me sorprende), las mayores sospechas son que la NSA estaba haciendo uso de esta vulnerabilidad desde hace tiempo de acuerdo a NSA leaks que se conocieron hace poco y que son consistentes con el tipo de ataque que se describe… (oootra vez arroz)

Desde el punto de vista del cliente, hasta el momento salieron patch’s para Internet Explorer (inserte cara de asombrado aquí), aunque están anunciando que saldrán en Chrome, Firefox y Safari en breve. Inclusive Mathew Green (parte del equipo de investigadores), twiteó el Martes por la noche que estuvo realizando disclosure a varias empresas previo a publicarlo. Ahora, ¿por qué publicarlo antes de que una buena parte de los browsers tenga ya fix disponible? Esa parte es realmente cuestionable.

Por el lado de los servidores, de acuerdo al sitio de la vulnerabilidad, las recomendaciones para evitar Logjam son las siguientes -atentos SysAdmins, me incluyo-:

  1. Deshabilitar las Export Cipher Suites.
  2. Habilitar ECDHE (Eliptic Curve Diffie Hellman).
  3. Generar un grupo de Diffie Hellman seguro y único de 2048bits.

En el siguiente link de los researchers encontrarán instrucciones para aplicar correciones en:

  • apache (mod_ssl).
  • nginx.
  • lighttpd.
  • apache Tomcat.
  • postfix SMTP.
  • sendmail.
  • dovecot.
  • haproxy.

Todo da a entender que, como se está haciendo de moda últimamente, los investigadores creen necesario dar a conocer la vulnerabilidad aunque aún siga siendo una gran amenaza para la mayoría de los usuarios. Quizás así puedan llegar a una mayor concientización. Una discusión recurrente e inconclusa en el ambiente, aunque yo preferiría la paciencia antes que salir corriendo a patchear.

No se olviden de probar si su servidor es vulnerable desde el siguiente link: 

https://weakdh.org/sysadmin.html

O bien su SSL (análisis completo de SSL) en Qualys:

https://www.ssllabs.com/ssltest

Saludos!

 

Te puede interesar también:
INFORMATION LEAKAGE

Hackeo a al Ministerio de Migraciones

HACKING NEWS, HERRAMIENTAS, INFORMATION LEAKAGE

Meetup en HackersBA

INFORMATION LEAKAGE

Grabación charla abierta y gratuita “In Pentesting We Trust”

HACKING NEWS, INFORMATION LEAKAGE

Why you can’t just enterely rely on Intrusion Prevention/Detection Systems

Deja un comentario