Hace escasos días, un investigador portugués descubrió un nuevo método de ataque. Cupid, una variante del archiconocido Hearbleed que podría afectar a redes inalámbricas y dispositivos Android.
Heartbleed, la gran vulnerabilidad de OpenSSL descubierta este mismo año aún está causando estragos. La mayoría de las organizaciones han parcheado el conocido bug en sus instalaciones que usan una versión susceptible del protocolo afectado, pero ha sido descubierto un nuevo método de ataque presentado por el investigador de seguridad de la compañía SysValue, Luis Grangeia.
Las pruebas de Grangeia lo llevaron a crear una librería de concepto que llamo Cupid o cupido, que básicamente se compone de dos parches para librerías de código Linux existentes. Uno que desata Heartbleed en los clientes vulnerables Linux y Android y el otro que ataca a servidores Linux. Este código fuente está disponible en este link con la esperanza de que otras personas se unan para investigar acerca de todos los posibles tipos de ataques.
¿Quiénes son susceptibles a Cupid?
Cupid es un ataque que sucede en las conexiones TLS a través de EAP o protocolo de autenticación extensible, a diferencia del Heartbleed inicial que tuvo lugar en las conexiones TLS pero a través de TCP. Para el que no este familiarizado con las siglas, EAP es un framework de autenticación utilizado comúnmente en las redes inalámbricas y en conexiones punto a punto.
Todo lo que utiliza OpenSSL para EAP TLS es susceptible a los ataques de Cupid. Debido a ello, este podría cobrar una gran importancia en redes empresariales inalámbricas, dispositivos Android y otros que utilicen EAP. En el caso de las redes inalámbricas de nuestros hogares podemos estar tranquilos, ya que por lo general los router inalámbricos utilizados para este fin no usan este protocolo. Quienes deben prestar especial atención a este nuevo fallo son algunas compañías, ya que la mayoría de las soluciones de conectividad que se ofrecen a nivel empresarial si lo emplean. Según Grangeia, incluso algunas redes cableadas utilizan EAP y por lo tanto son vulnerables.
En el caso de los dipositivos moviles, los Android afectados son aquellos que utilizan wpa_supplicant para conectarse a redes inalámbricas; tal es el caso de las versiones 4.1.0 y 4.1.1.
¿Qué medidas puedo tomar?
Si eres un usuario Android y estas preocupado acerca de lo que Cupid podría hacerle a tu dispositivo, debes saber que no todas las versiones están afectadas. Son la 4.1.0 y 4.1.1 las que utilizan una versión vulnerable de OpenSSL. Lo que debes hacer es tratar de actualizar a una ROM de una versión posterior. De no poder hacerlo debes evitar a toda costa conectarte a redes inalámbricas desconocidas.
Las versiones posteriores a la 4.1.1 son técnicamente vulnerables pero como el sistema de mensajería heartbeat esta desactivado, a Heartbleed no le queda nada que atacar.
En cuanto a los sistemas Linux que se conectan a través de redes inalámbricas, solo son susceptibles aquellos cuya versión de OpenSSL no haya sido parcheada. Si tu compañía utiliza estos sistemas es recomendable que el responsable compruebe que el parche esté en su lugar, todo para asegurarse. Por razones obvias, Grangeia recomienda que las redes corporativas que utilizan el protocolo EAP sean auditadas por SysValue o cualquier otra agencia.
Aunque no está confirmado, el experto cree que iPhones, iPads, OS X, otros servidores RADIUS aparte de freeradius, teléfonos VoIP, impresoras y varias soluciones inalámbricas comerciales podrían verse afectados, pero son de momento los sistemas Linux que están en posible riesgo. Para más información os invitamos a revisar el articulo completo de Grangeia.
