Últimas notícias

Fique informado
Reutilização de Certificados e chaves SSH expõe MILHÕES de dispositivos

Reutilização de Certificados e chaves SSH expõe MILHÕES de dispositivos

01/12/2015
David B.Svaiter

David B.Svaiter

Por David B.Svaiter

A Sec Security revelou em relatório nesta semana que a reutilização de certificados HTTPS e chaves SSH expõe milhões de dispositivos para ataques MITM.

A análise em mais de 4000 “firmware” (mais de 70 fornecedores!) revelaram que dispositivos como gateways, roteadores, modems, telefones VoIP e câmeras IP incluem tais ocorrências – num total de 580 chaves privadas únicas, 230 dos quais são utilizados por mais de 4 MILHÕES DE HOSTS, incluindo muitos que podem ser acessados remotamente a partir da Internet. Agentes maliciosos podem aproveitar estas chaves para ataques MitM e/ou decodificação passiva.

Há uma longa lista de fornecedores afetados, incluindo Alcatel-Lucent, Cisco, D-Link, Deutsche Telekom, Edimax, Huawei, Linksys, Motorola, Netgear, Philips, Seagate, TP-Link, TRENDnet, Tenda, Unify, Ubiquiti Networks, Vodafone, WD, ZTE e ZyXEL. As empresas afetadas foram notificadas pelo CERT/CC e algumas delas já começaram a implantar correções ou consultoria para mitigação de riscos.

Identificadores CVE até agora têm sido atribuídas para a Cisco (CVE-2015-6358), ZTE (CVE-2015-7255), ZyXEL (CVE-2015-7256), Technicolor (CVE-2015-7276) e Unify (CVE-2015- 8251). A Cisco já publicou um consultivo contendo detalhes da vulnerabilidade e uma lista de produtos afetados.

Interessante notar que, como não há soluções alternativas, a Cisco (e outros fabricantes brevemente) estão recomendando evitar conexões SSL (HTTPS) e SSH aos IP´s destes equipamentos.

iot-device-crypto-keys-660x330

Cisco diz que não há provas de que a vulnerabilidade foi explorada para fins maliciosos. A empresa classificou a falha como um problema de gravidade média e salientou que não podem ser exploradas para comprometer o próprio dispositivo. Além disso, a empresa observou que um atacante precisa obter não só o par público / privado chave, mas também uma posição privilegiada na rede do alvo.

O relatório da SEC Consult revelou ainda que mais de 26.000 dispositivos Cisco, fornecidos pelo ISP australiano Telstra para seus clientes,  estão expostos a acesso remoto via SSH.

O número de dispositivos expostos por outros ISP muito maior. Por exemplo, a CenturyLink, com sede nos Estados Unidos, tem mais de meio milhão de dispositivos afetados, enquanto a TELMEX do México expõe mais de um milhão modems Huawei.

Esta não é a primeira vez que os peritos encontraram produtos Cisco que colocam os clientes em risco devido ao padrão de chaves criptográficas. Em julho de 2014, a empresa alertou os usuários sobre a existência de chaves privadas padrão SSH no Cisco Unified Communications Domain Manager, e este ano em usuários de Junho foram informados de chaves SSH padrão em Appliance Virtual Web Security (WSAV), Email Security Appliance Virtual (ESAV ) e gestão Security Appliance Virtual (SMAV) produtos.

top_countriesEm outras palavras: se correr o bicho pega, se ficar o bicho come. Se confiamos em conexões “seguras” e agora descobrimos falhas que expõem a conexão, onde a única recomendação é evitar tais conexões, voltamos ao marco-zero da segurança online.

Por isso sempre recomendo o uso de criptografia “manual” – onde o usuário primeiro codifica os dados e depois os transmite – como forma de garantia 100% de privacidade digital. Entretanto, para conexões com bancos ou lojas, onde usamos cartões de crédito, isso se torna impossível. A indústria deve entender que o modelo de segurança baseado em “chaves certificadas” é ultrapassado e deve ser alterado para algo mais seguro; provavelmente utilizando criptografia simétrica, onde cada usuário possuiria sua própria chave criptográfica.

Conheça o Grupo Criptografia no Linkedin mantido pelo Autor.

David B.Svaiter – Partner of BIG BLUE SERVICES Ltda, a company specialized in hardware and software solutions for Corporations and Governamental Offices. Leader of the TI team responsible for development of professional encryption solutions: CIFRA EXTREMA PRO, CIFRA EXTREMA ENTERPRISE and S.W.A. (Safe Web Access), inovative tools to ensure total privacy against NSA-like attacks in corporate environments.CEO of Lynchesvaiter Ltda. Senior EDP Auditor. Expert in Cryptography with several softwares released in the last years. Expert in systems for Windows/Windows Phone. Expert in web design and web applications development using ASP.NET, ASP, AJAX, Visual Studio, Javascript.

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<