Heartbleed e router / ASA / altro

28

OK, per cui ho sentito parlare per la prima volta di poche ore fa attraverso lo scambio di domande con lo stack, e dopo un attimo di panico, mi sono reso conto che gli unici server Web che ho protetto tramite OpenSSL si trovano sulla rete interna. Rattoppato comunque, ma ora mi sono grattato sul fatto se altri servizi siano vulnerabili o meno. Nello specifico mi chiedo dei dispositivi di tipo Router come:

  • Cisco ASA
  • Router DD-WRT
  • NAS con supporto VPN

Credo che alcuni di questi usi OpenSSL per cose come SSH, point to point o VPN site-site, i mini server web che gestiscono per l'interfaccia di amministrazione, ecc. Ma ho battuto la mia testa contro un muro cercando di trovare il versioni in esecuzione su di loro. Ad esempio, sul nostro dispositivo DD-WRT, non sono stato in grado di trovare nemmeno un comando OpenSSL nel filesystem, quindi forse mi sbaglio su di loro usando OpenSSL.

Sono abbastanza sicuro che gli 8.4 in esecuzione su ASA siano in 0.9.8 e siano quindi sicuri (ma mi piacerebbe davvero una conferma visto che, ancora una volta, non sono riuscito a trovarlo con certezza nelle interfacce ASDM o telnet), e se è vero io Supponiamo che possiamo assumere che le versioni precedenti di ASA siano allo stesso modo sicure.

Qualcuno ha qualche informazione su questo tipo di dispositivi?

Modifica: ho letto questi meta domande (sono su SO, ma penso che potrebbero essere stagnanti, per così dire, per cercare di capire quale sia la migliore pratica qui, poiché penso che la risposta corretta potrebbe essere in realtà una combinazione di ciò che è qui. Probabilmente è colpa mia quanto qualsiasi, perché suppongo che questa sia in realtà una domanda composta. Ho preso in considerazione l'idea di pubblicare la mia risposta e di accettarla combinando le informazioni disponibili su diversi dispositivi, oltre a quello che ho trovato sui numeri di build DD-WRT interessati, ma mi chiedo se questo non sia un po 'rude considerando che voi ragazzi avete fornito la maggior parte e in questo modo nego DI TUTTO il rep di risposta accettato. So che la pratica accettata (da quei link meta.SO) sembra essere quella di sceglierne uno migliore secondo le mie condizioni e alzare il resto (il secondo è fatto), ma qui le risposte diverse sono ugualmente buone per le diverse parti del mio domanda. qualche idea? (Anche, questa modifica dovrebbe essere una questione meta.sec? Esito a farlo quando la domanda sembra essere posta tante volte già su altri meta)

    
posta Chris O'Kelly 08.04.2014 - 07:20
fonte

6 risposte

11

Ho trovato un bel post da un tecnico di supporto Cisco per quanto riguarda l'ASA:

However, if you are trying to find the OpenSSL version for an ASA (Adaptive Security Appliance), you can determine this version from the ASA release notes. Simply examine the "Open Source" notes that are located in the release notes of the particular ASA image you are concerned with. For example, from the ASA 8.4 release notes, you will find a section titled "Related Documentation", which has a link that points to "ASA Series Documentation". From there, you will find a link for "Open Source License". That will take you to an "Open Source" page which reveals that the OpenSSL version that runs on the ASA 8.4 code is "0.9.8f"

A causa di ciò né 8.4 (x) 9.1 (x) sono vulnerabili poiché utilizzano parti di OpenSSL versione 0.9.8f

    
risposta data 08.04.2014 - 12:40
fonte
6

DD-WRT utilizza OpenSSL 1.0.1 ed è vulnerabile. C'è stato un aggiornamento pubblicato solo 22 ore fa sulla pagina trac: link

È possibile visualizzare il file CHANGES per i dettagli.

    
risposta data 09.04.2014 - 00:11
fonte
4

Da Advisory sulla sicurezza Cisco sulla vulnerabilità dell'estensione heartbeat di OpenSSL in prodotti Cisco multipli (ID consultivo: cisco-sa-20140409-heartbleed, 9 aprile 2014):

Vulnerable Product

The following Cisco products are affected by this vulnerability:

  • Cisco AnyConnect Secure Mobility Client for iOS
  • Cisco Desktop Collaboration Experience DX650
  • Cisco Unified 7900, 8900, 9900 series IP Phones
  • Cisco TelePresence Video Communication Server (VCS)

Other Cisco products may be affected by this vulnerability. The list of affected products will be updated as the investigation continues.

e

Products Confirmed Not Vulnerable

The following Cisco products have been analyzed and are not affected by this vulnerability:

  • Cisco Adaptive Security Appliance (ASA) Software
  • Cisco ACE Application Control Engine
  • Cisco AnyConnect Secure Mobility Client for desktop platforms
  • Cisco AnyConnect Secure Mobility Client for Android
  • Cisco CSS 11500 Series Content Services Switches
    
risposta data 09.04.2014 - 16:01
fonte
4

Sul mio router DD-WRT, accesso via ssh

Per prima cosa ho potuto vedere che la versione su / usr / lib / libssl * è 0.9.8 Anche l'esecuzione di stringhe su detta lib mostra v 0.9.8 all'interno di

$ strings /usr/lib/libssl.so.0.9.8 | grep OpenS
OpenSSLDie
SSLv2 part of OpenSSL 0.9.8l 5 Nov 2009
SSLv3 part of OpenSSL 0.9.8l 5 Nov 2009
TLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
DTLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
OpenSSL 0.9.8l 5 Nov 2009

P.S. Ho anche ottenuto EOF sullo strumento di filippo.io, ma questo non è stato implementato solo parte del test ( link )

    
risposta data 10.04.2014 - 04:56
fonte
2

per quanto riguarda il DD-WRT, dipende dalla versione. Molte delle DD-WRT "attuali" rilasciano prima dell'introduzione della funzione heartbeat (2012) e della vulnerabilità di sicurezza associata in openssl. Se il tuo DD-WRT è stato costruito dal 2012 è vulnerabile. La versione di DD-WRT in esecuzione sui miei router interni è a partire dall'11 / 12 e quando eseguo il test heartbleed che ho clonato da filippo.io contro di loro ho ricevuto "ERROR: EOF". : - / Il mio router internet (non in esecuzione DD-WRT) è OK.

Ho anche controllato la mia synology che sta eseguendo la versione precedente alla versione corrente (5.0) ed è vulnerabile. Ne ho disabilitato l'accesso da Internet fino a quando Synology non rilascia una correzione e ho la possibilità di applicarlo.

C'è un elenco qui:

link

    
risposta data 09.04.2014 - 18:05
fonte
2

La Synology è interessata, ma domani preparerà un aggiornamento per DSM 5 e DSM 4.3. Una patch per DSM 4.2 verrà consegnata in una settimana.

Da una versione che ho ricevuto da Synology (sono un giornalista):

Synology® DSM 5.0 Secured Against OpenSSL Heartbleed Vulnerability

Taipei, Taiwan—April 11st, 2014—Synology® Inc. today releases the latest DSM 5.0-4458 Update 2 to resolve the vulnerability CVE-2014-0160 (also known as the Heartbleed bug) in the OpenSSL software.

As the OpenSSL is one of the largest encryption libraries on the Internet today and has been used by many websites, Synology has taken immediate actions to mitigate this issue:

  • For DiskStation and RackStation running DSM 5.0 and DSM 4.3, it is strongly recommended to apply DSM 5.0-4458 Update 2 via Control Panel and renew SSL certification (read more in Security Advisory).
  • For DiskStation or RackStation running DSM 4.2, patch will be delivered in one week.
  • MyDS Center servers have been patched and are safe to use. However, MyDS Center users are strongly suggested to change MyDS password to ensure the safety of their personal information.

Synology values data & system security as one of its prime directive, and will continue devoting resources to equip our solutions with reliable security measures to prevent potential threats. If users need help with their systems after being upgraded to the latest DSM version or have any further questions, please contact [email protected].

    
risposta data 11.04.2014 - 00:40
fonte

Leggi altre domande sui tag