Heartbleed (CVE-2014-0160)

Heartbleed (CVE-2014-0160)

Risk: high

Descripción

Heartbleed (CVE-2014-0160) es un fallo de seguridad en la biblioteca de criptografía OpenSSL, una implementación ampliamente utilizada del protocolo de Seguridad de la Capa de Transporte (TLS). Se introdujo en el software en 2012 y se divulgó públicamente en abril de 2014.

Heartbleed puede ser explotada independientemente de si la instancia vulnerable de OpenSSL se ejecuta como servidor o cliente TLS. Resulta de una validación de entrada inadecuada (debido a la falta de una comprobación de límites) en la implementación de la extensión heartbeat de TLS; por lo tanto, el nombre del error se deriva de heartbeat. Además, la vulnerabilidad se clasifica como una lectura excesiva de búfer (buffer over-read), donde se pueden leer más datos de los permitidos.

Recomendación

Para mitigar el riesgo de la vulnerabilidad Heartbleed, considere:

• Actualizar OpenSSL: Asegúrese de estar utilizando la última versión de OpenSSL que contiene el parche para Heartbleed. Actualice sus sistemas, aplicaciones y dispositivos a la versión parcheada.
• Reemplazar Certificados SSL: Genere nuevos certificados SSL para sus servidores y revoque los antiguos. Esto ayuda a prevenir la posible explotación de claves privadas comprometidas.
• Restablecer Credenciales de Usuario: Anime a los usuarios a cambiar sus contraseñas, especialmente si han iniciado sesión en servicios afectados durante el período en que Heartbleed estuvo presente.

Enlaces

Estándares

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_6_2
  • REQ_6_3
  • REQ_6_4
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255
  • SECURITY258