Fallo en SSL puede provocar ataque a servidores Apache

l puerto 443 es utilizado por el protocolo SSL (Secure Sockets Layer), una tecnología que proporciona comunicación segura de datos mediante el cifrado y descifrado de los mismos. SSL es ampliamente utilizado por aplicaciones y servidores que requieran un vínculo seguro, como los relacionados con el comercio electrónico.

El aumento de escaneo a este puerto empezó el pasado 15 de julio, un día antes de la revelación pública de un fallo crítico en "mod_ssl", un módulo utilizado por los servidores Apache para la implementación de SSL.

En el pasado, Netcraft observó esta misma clase de actividad poco tiempo antes de una oleada de ataques a servidores SSL, que incluía a la mayoría de los sitios más importantes relacionados con el comercio electrónico.

En esa oportunidad los atacantes usaron una vulnerabilidad en la implementación SSL de Microsoft para instalar en los servidores vendidos por esa compañía, un código malicioso conocido como "Scob" o "Download.ject", el que luego permitió descargar un troyano en las computadoras de los usuarios con equipos vulnerables.

El trabajo de los atacantes se hizo más fácil por la amplia distribución del código que explotaba el fallo. Al pasado 9 de julio, más de 100 servidores de Internet, todavía distribuían este código, según un reporte de la empresa de seguridad Websense.

"SSL encripta información sensible para las transacciones del comercio electrónico, y su presencia puede indicar un blanco muy valioso para piratas que procuran robar estos datos financieros", dice Rich Miller en el reporte de Netcraft.

Esta vez, la actividad de escaneos, podría haber sido incentivada por el descubrimiento de un fallo en el módulo "mod_ssl", utilizado en servidores Apache que corren OpenSSL para proporcionar SSL y TLS (Transport Layer Security), otro protocolo de seguridad afectado, de acuerdo con Netcraft.

Según el "Mod_ssl Project", quienes revelaron la vulnerabilidad el pasado 16 de julio junto con la publicación del parche, el agujero afecta a servidores Apache 1.3.x solamente si los mismos están ejecutando "mod_ssl" junto a otro módulo llamado "mod_proxy". Bajo ciertas configuraciones del servidor, un atacante remoto podría ejecutar código en forma arbitraria con los mismos privilegios de un usuario local.

El vendedor ha proporcionado un parche en el enlace que se da al final de este artículo, y otros distribuidores de Linux, incluyendo Gentoo y Debian, han empezado a distribuir los parches personalizados para sus respectivas versiones. Organizaciones de seguridad, incluyendo el US CERT y Secunia, han emitido avisos sobre este problema.

Los servidores SSL a menudo no son actualizados con los parches de seguridad más críticos, según Netcraft. En una reciente inspección, la firma detectó que muchos servidores aún están corriendo las versiones más viejas y vulnerables de OpenSSL.

Aunque la información revelada a la red por muchos servidores puede ser sospechosa, Netcraft dijo que "es demasiado probable que muchos de los sitios que parecen estar corriendo las versiones más recientes y vulnerables de OpenSSL, estén realmente sin actualizar".


Más información:

[ANNOUNCE] mod_ssl 2.8.19 for Apache 1.3.31
http://marc.theaimsgroup.com/?l=apache-modssl&m=109001100906749&w=2

Surge in Scans Seeking SSL Servers
http://news.netcraft.com/archives/2004/07/22/surge_in_scans_seeking_ssl_servers.html