Vulnerabilidad crítica de OpenSSL permite desplegar ataques DoS fácilmente

Los desarrolladores de OpenSSL acaban de anunciar que la más reciente versión, OpenSSL 1.1.1i, contiene una serie de parches para corregir una vulnerabilidad crítica que podría ser explotada para desplegar ataques de denegación de servicios (DoS) de forma remota.

Esta vulnerabilidad, identificada como CVE-2020-10713, es un problema de desreferencia del puntero NULL y fue reportada por David Benjamin del equipo de seguridad de Google. La falla está presente en todas las versiones 1.1.1 y 1.0.2.

En su reporte, los equipos de seguridad de OpenSSL mencionan: “X.509 GeneralName es un tipo genérico para representar diferentes tipos de nombres. Uno de esos tipos de nombres se conoce como EDIPartyName. OpenSSL proporciona una función GENERAL_NAME_cmp que compara diferentes instancias de GENERAL_NAME para ver si son iguales o no. La función se comporta de forma inesperada cuando ambos GENERAL_NAME contienen un EDIPARTYNAME. Esto podría conducir a una desreferencia del puntero NULL y a una eventual denegación de servicio”.

Una vez que los desarrolladores informaron sobre el parche, múltiples organizaciones emitieron alertas de seguridad para notificar a sus usuarios sobre el riesgo potencial vinculado a esta falla. En un reciente aviso, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) instó a los administradores y usuarios verificar qué versión de OpenSSL ejecutan sus organizaciones, a fin de prevenir cualquier posible riesgo.

Las distribuciones de Linux, incluyendo Red Hat, Debian, Ubuntu y CloudLinux también han publicado avisos de seguridad. Por su parte, la firma de seguridad china Quihoo 360 asegura haber detectado millones de servidores vulnerables, principalmente en E.U.

Finalmente, los investigadores de Palo Alto Networks publicaron un aviso el miércoles para informar a sus clientes que esta falla de OpenSSL no afecta sus productos PAN-OS, GlobalProtect App o Cortex XSOAR: “Las condiciones para la explotación de esta vulnerabilidad no existen en estos productos”, asegura la compañía. Más organizaciones de la industria podrían emitir sus propios comunicados en los próximos días.