• Vulnerabilidade Heartbleed em Equipamentos CISCO e Juniper

    Heartbleed, uma vulnerabilidade envolvendo o protocolo de criptografia OpenSSL que colocou os administradores de rede e usuários de Internet em alerta dirante a semana que passou, também foi descoberto em equipamentos de rede Cisco e Juniper. As duas fabricantes foram avisadas sobre o ocorrido, identificando os produtos afetados e aqueles que ainda estão sob investigação com possibilidade de também estarem vulneráveis.


    Falha Afetou Switches, Roteadores e Demais Equipamentos de Rede

    O problema teria atingido roteadores, switches e outros equipamentos de rede onde senhas podem poderiam ser interceptadas por crackers, assim como outras informações sensíveis que trafegam pelas redes corporativas. Nessa sequência, a Cisco identificou 16 produtos afetados pela falha em questão, incluindo fones Cisco IP, TelePresence Video Communication Server, Mobility Service Engine, a versão 2.x do WebEx Meeting Server e MS200X Ethernet Switch. Além disso, a provedora listou, ainda, mais 60 equipamentos que estão sob análise quanto ao bug, mas informou que nenhum desses hospedava serviços que foram afetados pelo problema.


    Além disso, a empresa negou-se a responder a reportagem da CRN EUA, mas afirmou que continuará incentivando, fortemente, a atualização de seus produtos que foram afetados pela vulnerabilidade, a medida que mais informações estiverem disponíveis. Além disso, serão lançados softwares grátis endereçados à solução do problema. Do outro lado, a Juniper identificou oito produtos que podem estar vulneráveis ao Heartbleed: a lista inclui o Junos OS 13.3R1, certas versões de seu Network Connect, Pulse e Odissey versões 5.6r5.


    Incentivando Clientes a Realizar Atualizações

    De acordo declararam os responsáveis pela parte da segurança da empresa, todos estão encorajando, fortemente, os seus clientes a entrarem em contato com o centro de suporte, para obter maior detalhamento de ações e atualização de produtos, disse um porta-voz da companhia, através de um e-mail. Ainda de acordo com um relatório do integrador de sistemas de segurança Accuvant, outros fabricantes, incluindo F5 Network, Red Hat, CheckPoint também tomaram conhecimento de produtos que estavam vulneráveis.


    Sobre a Vulnerabilidade Heartbleed

    Mesmo com tantas notícias girando em torno dessa falha, para quem ainda não sabe o que é, Heartbleed é uma falha grave que foi descoberta no OpenSSL. A tal falha expõe quase todo mundo que usa a Internet. Além do mais, a vulnerabilidade – através da qual invasores podem chegar a servidores sem deixar nenhum rastro – foi descoberta pela equipe de segurança do Google. OpenSSL, provavelmente, é um protocolo que faz parte do uso da Web de todas as pessoas. O servidor Apache, responsável por quase metade de toda a Web, usa OpenSSL.


    Atualização de Software em Virtude da Vulnerabilidade

    Vale ressaltar que grande parte de aplicativos e sites também usa o sistema para criptografar dados enviados. E foi justamente nele onde foi descoberto um grande bug chamado "Heartbleed", através do trabalho de especialistas de segurança, dentre eles, Neel Mehta da equipe de segurança do Google. Além disso, companhias como Amazon Web Services, Yahoo, Tumblr, entre outras, já afirmaram que estão atualizando seus softwares de OpenSSL com um patch lançado recentemente. Na sequência das atualizações, a AWS, inclusive, publicou um boletim de segurança detalhando quais serviços foram atualizados em resposta ao Heartbleed.


    Exploração da Falha e Grande Número de Páginas Afetadas

    Quando explorada, a vulnerabilidade Heartbleed permite que informações sigilosas de usuários e empresas armazenadas de servidores Web sejam interceptadas por crackers - o que pode incluir chaves SSL de sites, nomes de usuário e senhas, e até mesmo dados pessoais do usuário; esses dados envolvem e-mail, mensagens instantâneas e arquivos, de acordo com a empresa finlandesa Codenomicon - a primeira companhia a identificar a falha Heartbleed em conjunto com o pesquisador Neel Mehta.

    O Heartbleed, ou OpenSSL TLS "heartbeat" Extension Information Disclosure Vulnerability (CVE-2014-0160), afeta um componente do OpenSSL conhecido como "heartbeat", e estima-se que a vulnerabilidade já exista há cerca dois anos, embora só tenha sido descoberta e publicamente anunciada na semana que passou. Importante lembrar que o Heartbleed afeta somente o OpenSSL e não o protocolo de segurança SSL em si.

    Mesmo assim, é bom ficar muito atento, pois devido à popularidade do OpenSSL com os administradores de sites, o número potencial de páginas afetadas é muito grande. A empresa de segurança e pesquisa de Internet Netcraft, estima que o Heartbleed tenha afetado cerca de meio milhão de "sites amplamente confiáveis". "Na escala de 1 a 10, ele - Heartbleed - atinge o score 11, tão alta é a gravidade de seus efeitos", afirmou o respeitado especialista em segurança Bruce Schneier em uma postagem em seu blog.


    Saiba Mais:

    [1] CRN - Technology http://crn.itweb.com.br/49662/bug-he...sco-e-juniper/
Visite: BR-Linux ·  VivaOLinux ·  Dicas-L