El fallo Heartbleed es una vulnerabilidad en la biblioteca criptográfica OpenSSL que permite a los atacantes leer de forma invisible datos confidenciales de un servidor web. Esto incluye potencialmente claves criptográficas, nombres de usuario y contraseñas. Puede encontrar más información y las preguntas más frecuentes en la divulgación inicial.
ACTUALIZACIÓN: Hemos publicado nuestro análisis exhaustivo de la vulnerabilidad Heartbleed, El asunto Heartbleed. El trabajo se presentará formalmente en la ACM SIGCOMM Internet Measurement Conference (IMC'14) el 7 de noviembre de 2014 en Vancouver, Canadá. Este análisis proporciona información actualizada que sustituye a este sitio web.
¿Quién es vulnerable?
Para saber quién es vulnerable al fallo Heartbleed, hemos realizado análisis exhaustivos del espacio de direcciones IPv4 con ZMap y comprobado periódicamente el estado de los dominios Alexa Top 1 Million. A partir de las 16:00 EDT del miércoles 16 de abril de 2014, encontramos que el 45% de los sitios web de Alexa Top 1 Million soportan TLS. De los sitios web que soportan HTTPS, el 5,2% son vulnerables, el 32% soportan de forma segura la extensión heartbeat, y el 63% no soportan la extensión heartbeat (y por lo tanto son seguros). La información sobre los sitios web más populares que se vieron afectados, pero que ya no son vulnerables, se puede encontrar en The Heartbleed Hit List de Mashable : The Passwords You Need to Change Right Now. Si le preocupa que un sitio web concreto sea vulnerable, puede probarlo con Qualys SSL Server Test. Si es administrador de sistemas, la EFF ha publicado Heartbleed Recovery for System Administrators con información sobre cómo proteger los servicios.
ACTUALIZACIÓN (4/11/14 10:00 PM EDT): Ahora hay pruebas disponibles que indican que es posible extraer claves privadas de los servidores web que se vieron afectados por la vulnerabilidad Heartbeat. Hemos publicado una lista de la primera vez que el certificado de cada sitio web fue visto por primera vez en la naturaleza. Desafortunadamente, parece que cerca del 25% de los 1.000 principales sitios web que ejecutan software potencialmente afectado por la vulnerabilidad Heartbeat utilizan certificados anteriores al 1 de abril de 2014.
ACTUALIZACIÓN (4/13/14 1:00 PM EDT): La mayor parte de la atención en torno a la vulnerabilidad Heartbeat se ha centrado en los servidores web que utilizan OpenSSL. Sin embargo, muchos otros tipos de servicios utilizan TLS y OpenSSL para cifrar la comunicación sensible, incluyendo correo, mensajería instantánea y voz sobre IP (VoIP). Hemos empezado a buscar servidores SMTP, IMAP y POP3 vulnerables. Aproximadamente el 7,6% de los servidores de correo alojados en mail.domain y smtp.domain del Top 1 Millón de Alexa siguen siendo vulnerables.
ACTUALIZACIÓN (4/14/14 6:00 PM EDT): El lunes por la tarde, se nos informó de que varios servidores de correo seguros aparecían incorrectamente como vulnerables en uno de nuestros análisis recientes. Desde entonces hemos localizado el error y hemos publicado los resultados actualizados. Agradecemos a Scott Thorson que nos lo haya comunicado.
Los escaneos completos de HTTPS para la dirección IPv4 completa muestran que aproximadamente el 4,9% de todos los hosts que soportan HTTPS siguen siendo vulnerables. El 6,0% soporta mensajes heartbeat, pero no son vulnerables, y el 89,1% de los hosts HTTPS no soportan heartbeat. En total, aproximadamente 1,4 millones de servidores web siguen siendo vulnerables. Por el momento no estamos publicando escaneos completos de todo Internet.
Tendencia histórica de sitios web vulnerables HTTPS habilitados para Alexa Top 1 Million Websites
¿Hay ataques activos?
Hemos observado un pequeño número de hosts escaneando en busca de la vulnerabilidad. Sin embargo, es difícil discernir la intención de estos escáneres. Si bien es posible que los atacantes estén buscando hosts para comprometer, también es posible que estos escaneos estén siendo ejecutados por investigadores.
ACTUALIZACIÓN (4/10/14 7:30 PM EDT): Tenemos datos históricos de conexiones HTTPS desde una dirección IP fuera de la ruta desde el 22 de noviembre de 2013. Observamos el primer intento de exploración para explotar la vulnerabilidad en 2014-04-09 a las 00:23 UTC desde 183.60.244.44 (una dirección en China asociada con actividades maliciosas). Observamos un segundo intento de explotar la vulnerabilidad el 2014-04-10 a las 02:04 GMT y de nuevo a las 02:58 UTC desde la dirección IP 54.200.211.227 (una instancia de Amazon EC2). Dado que la dirección de nuestro honeypot no es un sitio importante, sospechamos que estos intentos de ataque formaban parte de intentos de explotación a escala de Internet. No observamos ningún ataque a gran escala de este tipo antes del anuncio público del fallo. Sin embargo, no podemos descartar la posibilidad de que se produjeran antes ataques dirigidos contra sitios específicos.
ACTUALIZACIÓN (4/15/14 2:00 PM EDT): Hemos observado 41 hosts únicos escaneando e intentando explotar la vulnerabilidad Heartbeat. Estos ataques fueron descubiertos en tres honeypots que estamos manteniendo. De estos 41 hosts, el 59% estaban ubicados en China y representaban el 45% de los ataques. La primera sonda que detectamos fue a las 1539 GMT del 8 de abril de 2014. Dado que nuestros honeypots están alojados en hosts apartados y no en un sitio web importante, lo más probable es que estos hosts estuvieran realizando escaneos exhaustivos o escaneos de una gran muestra de Internet. La mayor cantidad de datos recuperados por un solo escáner fue de 300 KB.
¿Quién está detrás de esta investigación?
Este informe ha sido elaborado por informáticos de la Universidad de Michigan, entre ellos Zakir Durumeric, David Adrian, Michael Bailey y J. Alex Halderman. Puede ponerse en contacto con el equipo en heartbleed@umich.edu.