Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los expertos advierten de posibles fallos críticos en OpenSSL
8 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Se ha pedido a los principales proveedores de sistemas operativos, editores de software, proveedores de correo electrónico y empresas tecnológicas que integran OpenSSL en sus productos que se preparen para una posible vulnerabilidad "crítica" en las versiones 3.0 y superiores de casi todas las bibliotecas criptográficas.
OpenSSL es una biblioteca de software para aplicaciones que protege la comunicación a través de redes informáticas contra escuchas o la identificación de la parte en el otro extremo. Lo utilizan principalmente los servidores de Internet, la mayoría de los cuales son sitios web HTTPS.
El parche para corregir el fallo aún no revelado en las versiones actuales de la tecnología se publicará en una nueva versión de OpenSSL (versión 3.0.7) prevista para el martes 1 de noviembre. Aunque la versión actualizada de la tecnología se publicará simultáneamente con el lanzamiento del proyecto OpenSSL, potencialmente dejará a millones de personas con un plazo inminente para encontrar y corregir la vulnerabilidad antes de que los atacantes empiecen a explotarla.
Los investigadores temen que la nueva vulnerabilidad pueda ser otro fallo Heartbleed. CVE-2014-0160, una vulnerabilidad Heartbleed que se descubrió en 2014, permite a los atacantes interceptar las comunicaciones por Internet y robar datos de servicios y usuarios, así como hacerse pasar por servicios y realizar actividades maliciosas que apenas dejan rastro para rastrear sus acciones.
Cualquier cosa que se comunique de forma segura con Internet podría tener OpenSSL integrado. Además del software, el hardware también puede verse afectado.
La información anticipada proporcionada por el proyecto OpenSSL da tiempo a las organizaciones para prepararse.
Según Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, en ausencia de actividad de exploits e indicadores de compromiso relacionados, las organizaciones deben seguir su proceso normal de gestión de cambios cuando una actualización conocida está en camino.
Dado que algunas organizaciones ya se han enfrentado a Heartbleed, se espera que sepan dónde están sus instalaciones de OpenSSL, ya que así lo exigen los productos de sus proveedores para la actualización.
Para John Barnbenek, cazador jefe de amenazas de Netenrich, un problema probable para el que las organizaciones deben prepararse es cómo hacer frente a los productos que llegan al final de su vida útil y para los que no hay actualizaciones disponibles.
Las fuentes de este artículo son un artículo de DarkReading.
