A Symantec está recomendando a utilização da versão mais recente da popular implementação de código aberto dos protocolos SSL/TLS em função de uma nova vulnerabilidade crítica em OpenSSL, que poderia permitir a interceptação de comunicações seguras por invasores capazes de “enganar” um computador-alvo, para que ele aceitasse um certificado digital bogus como válido. Isto facilitaria ataques do tipo man-in-the-middle (MITM, do português “Homem no Meio”), nos quais invasores poderiam “escutar” conexões com serviços seguros, como bancos ou e-mails
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Vulnerabilidade crítica em OpenSSL coloca comunicações ditas seguras em risco
1. Vulnerabilidade crítica em OpenSSL coloca comunicações
ditas seguras em risco
A Symantecestárecomendandoautilizaçãodaversãomaisrecente dapopularimplementaçãode
códigoabertodos protocolosSSL/TLSemfunçãode uma nova vulnerabilidadecríticaemOpenSSL,que
poderiapermitirainterceptaçãode comunicaçõesseguraspor invasorescapazesde “enganar”um
computador-alvo,paraque ele aceitasseumcertificadodigital bogus comoválido.Istofacilitaria
ataquesdo tipo man-in-the-middle(MITM,do português“Homemno Meio”),nosquais invasores
poderiam“escutar”conexõescomserviçosseguros, comobancosoue-mails.
A grande proporçãodesse riscose deve ao fatode o OpenSSLseruma das implementaçõesmais
amplamente usadasdosprotocolosde criptografiaSSLe TLS. O Software Open-source(CódigoAberto) é
facilmente encontrado emdispositivos conectadosàInternet,oque abrange doisterçosde todosos
servidores web.
A novaVulnerabilidade de Falsificaçãode Certificado de CadeiasAlternativas (AlternativeChains
Certificate ForgetyVulnerability) játemuma atualizaçãode segurançaemitidapeloprojeto OpenSSL.A
vulnerabilidade se refere aoprocessode verificaçãodocertificadode OpenSSL,cujoscertificados são
emitidosemcadeias,osquaisse deslocamapartirda autoridade de certificadoraiz(CA) atravésde uma
série de CAsintermediáriasaté acertificaçãode usuáriofinal,conhecidocomocertificado leaf
(secundário).
Esta vulnerabilidade afetaasversõesOpenSSL 1.0.2c,1.0.2b, 1.0.1n, e 1.0.1o. Usuáriosde versões
1.0.2b e 1.0.2c sãoaconselhadosafazero upgradeimediatopara1.0.2d.Usuários dasversões 1.0.1n e
1.0.1o são aconselhadosafazero upgradeimediatopara1.0.1p.
Importante
Esta é uma vulnerabilidadeemOpenSSLe nãoumafalhacom SSL/TLS ou certificadosemitidos
pelaSymantec.
Todo usuáriode OpenSSL1.0.1 a 1.0.2 deveráatualizarparaa versãomaisrecente dosoftware
o maisrápidopossível.Usuáriosdasversões 1.0.0 e 0.9.8 não são afetadosporeste problema.
Atenção:muitosoutrospacotesde software usamOpenSSLe aquelesque ofazemdeverão ser
atualizados,jáque ovendedorincorporaaversãoatualizadadoOpenSSLaosseusprodutos.
As FerramentasVerificadorasde CertificadoSSLda Symantec(SSLToolsCertificate Checker) verificarão
se um website estávulnerável apotencial exploração.Épossível acessaro Verificadorde Certificadono
seguinte endereço:https://ssltools.websecurity.symantec.com/checker/
Leiamaisdetalhessobre otemano Blog Post da Symantece,caso queiramarcar umentrevistacomum
especialistadaempresa,porfavor,entre emcontato.