Heartbleed y Routers / ASAs / other

28

Bien, por lo que escuché por primera vez acerca de Heartbleed hace unas horas a través de la fuente de preguntas de intercambio de pila, y luego de un momento de pánico, me di cuenta de que los únicos servidores web que he protegido mediante OpenSSL están en la red interna. Parcheado de todos modos, pero ahora me he estado rascando si otros servicios son vulnerables o no. Específicamente me estoy preguntando acerca de los dispositivos de tipo Router, tales como:

  • Cisco ASA's
  • enrutadores DD-WRT
  • NAS con soporte VPN

Creo que algunos de estos usan OpenSSL para cosas como SSH, punto a punto o sitio a sitio VPN, los mini servidores web que funcionan para la interfaz de administración, etc. Pero he estado bateando mi cabeza contra una pared tratando de encontrar el versiones que se ejecutan en ellos. Por ejemplo, en nuestro dispositivo DD-WRT, ni siquiera he podido encontrar un comando OpenSSL en el sistema de archivos, así que tal vez me equivoque al usar OpenSSL en absoluto.

Estoy bastante seguro de que los ASA 8.4 están funcionando en 0.9.8 y, por lo tanto, son seguros (pero realmente me gustaría la confirmación porque, nuevamente, no pude encontrar esto con certeza en las interfaces de ASDM o telnet), y si eso es cierto, Supongamos que podemos asumir que las versiones anteriores de ASA serán igualmente seguras.

¿Alguien tiene alguna información sobre este tipo de dispositivos?

Editar: He estado leyendo estos meta (están en SO, pero creo que pueden ser agnósticos de pila, por así decirlo, para tratar de averiguar cuál es la mejor práctica aquí, ya que creo que la respuesta correcta puede ser en realidad una combinación de lo que hay aquí. Probablemente sea mi culpa tanto como cualquier otra, porque supongo que esta es en realidad una pregunta compuesta en sí misma. He considerado publicar mi propia respuesta y aceptarla combinando la información disponible sobre varios dispositivos, además de lo que encontré sobre los números de compilación DD-WRT afectados exactos, pero me pregunto si eso no es un tanto grosero considerando que ustedes han suministrado la mayoría. De esa manera, niego a TODOS el representante de respuesta aceptado. Sé que la práctica aceptada (de esos enlaces meta.SO) parece ser elegir una mejor según mis propias condiciones y promover el resto (la última de las cuales está hecha), pero las diferentes respuestas aquí son igualmente buenas para diferentes partes de mi pregunta. ¿Alguna idea? (Incluso, ¿debería esta edición ser una pregunta meta.sec de sí misma? Dudo en hacerlo cuando parece que la pregunta ya se ha hecho tantas veces en otros meta)

    
pregunta Chris O'Kelly 08.04.2014 - 07:20
fuente

6 respuestas

11

He encontrado una buena publicación de un ingeniero de soporte de Cisco con respecto al ASA:

  

Sin embargo, si está intentando encontrar la versión de OpenSSL para un ASA (Adaptive Security Appliance), puede determinar esta versión a partir de las notas de la versión de ASA. Simplemente examine las notas de "Código abierto" que se encuentran en las notas de la versión de la imagen ASA particular que le preocupa. Por ejemplo, de las notas de la versión ASA 8.4, encontrará una sección titulada "Documentación relacionada", que tiene un enlace que apunta a "Documentación de la serie ASA". A partir de ahí, encontrará un enlace para "Licencia de código abierto". Eso lo llevará a una página de "Código abierto" que revela que la versión de OpenSSL que se ejecuta en el código ASA 8.4 es "0.9.8f"

Debido a esto, tampoco 8.4 (x) ni 9.1 (x) son vulnerables porque usan partes de la versión 0.9.8f de OpenSSL

    
respondido por el Merlin_the_Wizz 08.04.2014 - 12:40
fuente
6

DD-WRT usa OpenSSL 1.0.1 y es vulnerable. Hubo una actualización publicada hace 22 horas en la página de trac: enlace

Puedes ver el archivo de CAMBIOS para más detalles.

    
respondido por el cscracker 09.04.2014 - 00:11
fuente
4

De Aviso de seguridad de Cisco sobre la vulnerabilidad de la extensión del latido del corazón OpenSSL en varios productos de Cisco (Número de identificación: cisco-sa-20140409-heartbleed, 9 de abril de 2014):

  

Producto vulnerable

     

Los siguientes productos de Cisco se ven afectados por esta vulnerabilidad:

     
  • Cisco AnyConnect Secure Mobility Client para iOS
  •   
  • Cisco Desktop Collaboration Experience DX650
  •   
  • Teléfonos IP Cisco Unified 7900, 8900, 9900 series
  •   
  • Cisco TelePresence Video Communication Server (VCS)
  •   

Otros productos de Cisco pueden verse afectados por esta vulnerabilidad. La lista   Los productos afectados se actualizarán a medida que la investigación continúe.

y

  

Productos confirmados no vulnerables

     

Los siguientes productos de Cisco han sido analizados y no están afectados   por esta vulnerabilidad:

     
  • Software Cisco Adaptive Security Appliance (ASA)
  •   
  • Cisco ACE Application Control Engine
  •   
  • Cisco AnyConnect Secure Mobility Client para plataformas de escritorio
  •   
  • Cisco AnyConnect Secure Mobility Client para Android
  •   
  • Conmutadores de servicios de contenido de la serie Cisco CSS 11500
  •   
    
respondido por el user43863 09.04.2014 - 16:01
fuente
4

En mi enrutador DD-WRT, acceda a través de ssh

Primero pude ver que la versión en / usr / lib / libssl * es 0.9.8 También ejecutar cadenas en dicha librería muestra v 0.9.8 dentro de

$ strings /usr/lib/libssl.so.0.9.8 | grep OpenS
OpenSSLDie
SSLv2 part of OpenSSL 0.9.8l 5 Nov 2009
SSLv3 part of OpenSSL 0.9.8l 5 Nov 2009
TLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
DTLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
OpenSSL 0.9.8l 5 Nov 2009

p.s. También obtuve EOF en la herramienta filippo.io, pero eso no se implementó parte de la prueba ( enlace )

    
respondido por el nhed 10.04.2014 - 04:56
fuente
2

en cuanto a DD-WRT, depende de la versión. Muchos de los lanzamientos "actuales" de DD-WRT son anteriores a la introducción de la función de latido del corazón (2012) y la vulnerabilidad de seguridad asociada en openssl. Si su DD-WRT fue construido desde 2012 es vulnerable. La versión de DD-WRT que estoy ejecutando en mis enrutadores internos es del 11/12 y cuando ejecuté la prueba de corazón sangrante cloné desde filippo.io contra ellos obtengo "ERROR: EOF". : - / Mi enrutador de Internet (que no ejecuta DD-WRT) está bien.

También verifiqué mi sinología, que ejecuta la versión anterior a la versión actual (5.0) y es vulnerable. He deshabilitado el acceso a él desde Internet hasta que Synology publica una solución para esto y tengo la oportunidad de aplicarlo.

Aquí hay una lista:

enlace

    
respondido por el Buddy Palumbo 09.04.2014 - 18:05
fuente
2

Synology se ve afectado pero está preparando una actualización para DSM 5 y DSM 4.3 mañana. Se entregará un parche para DSM 4.2 en una semana.

De un comunicado que obtuve de Synology (soy periodista):

  

Synology® DSM 5.0 garantizado contra la vulnerabilidad de OpenSSL Heartbleed

     

Taipei, Taiwán, 11 de abril de 2014 — Synology® Inc. lanza hoy la última actualización 2 de DSM 5.0-4458 para resolver la vulnerabilidad CVE-2014-0160 (también conocida como error Heartbleed) en el software OpenSSL.

     

Como OpenSSL es una de las bibliotecas de cifrado más grandes de Internet hoy en día y ha sido utilizada por muchos sitios web, Synology ha tomado medidas inmediatas para mitigar este problema:

     
  • Para DiskStation y RackStation con DSM 5.0 y DSM 4.3, se recomienda encarecidamente aplicar la Actualización 2 de DSM 5.0-4458 a través del Panel de Control y renovar la certificación SSL (más información en el Aviso de Seguridad).
  •   
  • Para DiskStation o RackStation con DSM 4.2, el parche se entregará en una semana.
  •   
  • Los servidores del Centro MyDS han sido parcheados y son seguros de usar. Sin embargo, se recomienda encarecidamente a los usuarios de MyDS Center que cambien la contraseña de MyDS para garantizar la seguridad de su información personal.
  •   

Datos de valores de Synology & La seguridad del sistema como una de sus directivas principales, y continuará dedicando recursos para equipar nuestras soluciones con medidas de seguridad confiables para evitar posibles amenazas. Si los usuarios necesitan ayuda con sus sistemas después de haber actualizado a la última versión de DSM o si tienen más preguntas, comuníquese con security@synology.com.

    
respondido por el film_girl 11.04.2014 - 00:40
fuente

Lea otras preguntas en las etiquetas