La empresa de seguridad informática Symantec se ha hecho eco de una vulnerabilidad descubierta recientemente en una versión antigua del protocolo SSL, la cual representa una amenaza para un gran número de servidores web que todavía contienen restos de esta tecnología ya obsoleta.
Más concretamente, la vulnerabilidad SSL Man In The Middle Information Disclosure (CVE-2014-3.566) afecta a la versión 3.0 de SSL, que data de 1996 y que desde entonces ha sido sustituida por varias versiones del protocolo de TLS. No obstante, hoy en día, SSL 3.0 sigue siendo soportado por casi todos los navegadores web y un gran número de servidores web.
Desde Symantec se explicó que tanto SSL como TLS son protocolos seguros. El riesgo aparece cuando un cliente de TLS se ve obligado a usar una versión antigua como la SSL 3.0 para trabajar con servidores heredados o viejos. En este momento, un atacante podría interferir con el proceso de handshake que verifica qué protocolo debe usar el servidor y lo puede forzar a usar SSL 3.0 aunque se admita un protocolo más reciente.
Un ataque exitoso por este método podría permitir a un ciberdelincuente realizar un ataque del tipo MITM (Man In The Middle), que consiste en adquirir la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas sepa que el enlace ha sido violado, con lo que el atacante puede descifrar las cookies HTTP seguras y robar información o tomar el control de las cuentas en línea del usuario. Este ataque puede ser ejecutado tanto en el servidor como del lado del cliente, según divulgó Google.
Esta vulnerabilidad tiene cierta semejanza con la denominada Heartbleed que afectó a OpenSSL, una de las implementaciones más utilizadas de los protocolos SSL y TLS. La principal diferencia reside en el hecho de que con la nueva vulnerabilidad el atacante necesita tener acceso a la red entre el cliente y el servidor, por lo que un punto Wi-Fi sería suficiente.
Según informa Symantec, para mitigar esta vulnerabilidad es suficiente con desactivar el soporte SSL 3.0 o el sistema de cifrado CBC con SSL 3.0, aunque esta acción podría ocasionar dificultades de compatibilidad. La recomendación es cargar TLS_FALLBACK_SCSV, un mecanismo que previene que los atacantes usen SSL 3.0 en los navegadores.
Además, una firma de auditoría diseñada para detectar el uso del protocolo SSL 3.0 ha sido lanzada por Symantec Endpoint Protection (SEP). Las firmas de auditoría no bloquean el tráfico asociado con estas aplicaciones no maliciosas, pero permite a los administradores de SEP conocer qué nodos en su red están ejecutando este tipo de software, en caso de que sea algo que no se quiere tener en la red corporativa, lo que permite a los administradores tomar las acciones que consideren convenientes. La versión inicial de Symantec Endpoint Protection 12.1 no incluye las firmas de auditoría. Las firmas de auditoría funcionarán en SEP 12.1 RU2 y posteriores.
