Todo lo que necesitas saber acerca de POODLE

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Internet Explorer

En Internet Explorer, dirigirse a las opciones del navegador y dentro de la solapa Avanzado deseleccionar Usar SSL 3.0. Luego, reiniciar el navegador.

todo-lo-que-necesitas-saber-acerca-de-poodle_002

Chrome

Google Chrome no permite deshabilitar SSL 3.0 desde la interfaz gráfica, pero el equipo de desarrollo del navegador está trabajando para deshabilitar el protocolo de todos sus productos. Mientras tanto los usuarios de Windows pueden modificar el acceso directo del navegador, agregando al final del destino --ssl-version-min=tls1, lo que obligará al navegador a utilizar como mínimo TLS 1.0.

todo-lo-que-necesitas-saber-acerca-de-poodle_003

Firefox

Los usuarios de Firefox, por su parte, podrán escribir en la barra de navegación about:config y luego buscar security.tls.version.min. El valor en 0 permite la utilización de SSL 3.0, por lo que lo cambiaremos a 1 para forzar el uso de TLS 1.0 o superior.

todo-lo-que-necesitas-saber-acerca-de-poodle_004

Otros navegadores

Instrucciones para deshabilitar SSL 3.0 en Safari y Chrome para Ubuntu o Mac OS X disponibles aquí (artículo en inglés).

Administradores de sistemas

Para los administradores de sistemas el procedimiento es algo más complejo. A continuación encontrarán las instrucciones para mitigar la vulnerabilidad en las plataformas más comunes:

Apache

Para deshabilitar SSL 3.0 en un servidor web Apache debemos editar el archivo /etc/apache2/mods-available/ssl.conf, donde escribiremos SSLProtocol All -SSLv2 -SSLv3.
Esto permitirá el uso de TLS 1.0, TLS 1.1. y TLS 1.2, y evitará el uso de SSL 2.0 y SSL 3.0. Para finalizar, será necesario reiniciar el servidor web.

NginX

Para deshabilitar SSL 3.0 en un servidor web bajo plataforma NginX, el archivo que debemos editar es /etc/nginx/nginx.conf y la configuración será ssl_protocols TLSv1 TLSv1.1 TLSv1.2.

A diferencia de Apache, aquí dejaremos explícitamente configurado el uso de TLS 1.0, TLS 1.1 y TLS 1.2. Un reinicio y violà.

IIS

Los servidores web que se ejecutan bajo tecnología Microsoft requieren un ajuste en el registro, agregando o editando la siguiente clave:

HKEY_LOCAL_MACHINE / System/ CurrentControlSet / Control / SecurityProviders / SCHANNEL / Protocols / SSL 3.0

Allí crearemos un DWORD llamado Enabled con valor 0. Si la clave SSL 3.0 no existe, debemos crearla. Por último reiniciar el servidor web para que los cambios tomen efecto.

Algunas pruebas antes de terminar

El sitio ZMap ofrece un análisis en línea que permite identificar si SSL 3.0 se encuentra deshabilitado en el navegador desde el cual accedimos. El siguiente mensaje indica que el navegador es vulnerable:

todo-lo-que-necesitas-saber-acerca-de-poodle_005

En cambio, el recuadro azul indica que el navegador ya está protegido:

todo-lo-que-necesitas-saber-acerca-de-poodle_006

Los administradores de sistemas pueden utilizar el sitio SSLLabs para verificar el estado de sus servidores web. Una calificación C o inferior podría indicar que la vulnerabilidad está latente, según la información proporcionada por Qualys.

¡Hasta la próxima!

Deja un comentario