Cupid, otro bug de Heartbleed

Heartbleed, la gran vulnerabilidad de OpenSSL descubierta este mismo año aún está causando estragos. La mayoría de las organizaciones han parcheado el conocido bug en sus instalaciones que usan una versión susceptible del protocolo afectado, pero recientemente un nuevo método de ataque fue presentado por el investigador de seguridad de la compañía SysValue, Luis Grangeia. Cupid el nuevo bug de Heartbleed.

Las pruebas de Grangeia lo llevaron a crear una librería de concepto que llamo Cupid o cupido, que básicamente se compone de dos parches para librerías de código Linux existentes. Uno que desata Heartbleed en los clientes vulnerables Linux y Android y el otro que ataca a servidores Linux. Este código fuente está disponible en su repositorio GitHub con la esperanza de que otras personas se unan para investigar acerca de todos los posibles tipos de ataques.

¿Quiénes son susceptibles a Cupid?

Cupid es un ataque que sucede en las conexiones TLS a través de EAP o protocolo de autenticación extensible, a diferencia del Heartbleed inicial que tuvo lugar en las conexiones TLS pero a través de TCP. Si no lo conocían, EAP es un framework de autenticación utilizado comúnmente en las redes inalámbricas y en conexiones punto a punto.

Todo lo que utiliza OpenSSL para EAP TLS es susceptible a los ataques de Cupid. En consecuencia este podría tener impacto en redes empresariales inalámbricas, dispositivos Android y otros que utilicen EAP. En el caso de las redes inalambricas de nuestros hogares podemos estar tranquilos, ya que por lo general los router inalámbricos utilizados para este fin no usan este protocolo. Quienes deben prestar especial atención a este nuevo fallo son algunas compañías, ya que la mayoría de las soluciones de conectividad que se ofrecen a nivel empresarial si lo emplean. Según Grangeia, incluso algunas redes cableadas utilizan EAP y por lo tanto son vulnerables.

Otros afectados serian instalaciones que implementen wpa_supplicant, hostapd y freeradius (una implementación del servidor RADIUS) que pueden ser atacados si se utiliza una versión vulnerable de OpenSSL. De esta manera, los dispositivos Android afectados son aquellos que utilizanwpa_supplicant para conectarse a redes inalámbricas; tal es el caso de las versiones 4.1.0 y 4.1.1.

¿Qué medidas puedo tomar?

Si eres un usuario Android y estas preocupado acerca de lo que Cupid podría hacerle a tu dispositivo, debes saber que no todas las versiones están afectadas. Son la 4.1.0 y 4.1.1 las que utilizan una versión vulnerable de OpenSSL. Lo que debes hacer es tratar de actualizar a una ROM de una versión posterior. De no poder hacerlo debes evitar a toda costa conectarte a redes inalámbricas desconocidas.

Las versiones posteriores a la 4.1.1 son técnicamente vulnerables pero como el sistema de mensajeríaheartbeat esta desactivado, a Heartbleed no le queda nada que atacar.

En cuanto a los sistemas Linux que se conectan a través de redes inalámbricas, solo son susceptibles aquellos cuya versión de OpenSSL no haya sido parcheada. Si tu compañía utiliza estos sistemas es recomendable que el responsable compruebe que el parche esté en su lugar, todo para asegurarse. Por razones obvias, Grangeia recomienda que las redes corporativas que utilizan el protocolo EAP sean auditadas por SysValue o cualquier otra agencia.

Aunque no esta confirmado, el experto cree que iPhones, iPads, OS X, otros servidores RADIUS aparte de freeradius, teléfonos VoIP, impresoras y varias soluciones inalámbricas comerciales podrían verse afectados, pero son de momento los sistemas Linux que están en posible riesgo. Para más información los invitamos a revisar el articulo completo de Grangeia. Si eres un experto en seguridad y te gustaría investigar al respecto, puedes contribuir experimentando un poco con el código de Cupid, quizá termines ayudándonos a todos.