Este nuevo fallo de OpenSSL podría tirar cualquier servidor web

En otras ocasiones hemos visto diferentes fallos y ataques que pueden afectar al funcionamiento de los servidores. En este artículo vamos a hablar de un nuevo error en OpenSSL que podría permitir que un atacante tumbara un servidor y dejara de funcionar correctamente. Vamos a explicar en qué consiste exactamente este problema y de qué manera se puede evitar.

Un grave error en OpenSSL permite bloquear servidores

Este fallo ha sido calificado como de alta gravedad y afecta a la biblioteca de software de OpenSSL. Ha recibido una puntuación CVSS de 7,5 y es capaz de permitir a un atacante realizar ataques de denegación de servicio o DoS a la hora de analizar certificados. A este tipo de problemas se le denomina como bucle infinito. El fallo concretamente está presente en una función llamada BN_mod_sqrt().

El error ha sido registrado como CVE-2022-0778 y podría provocar la interrupción del servicio de muchos servidores de forma remota. Los investigadores de seguridad detrás de este descubrimiento indican que el análisis de certificados se realiza antes de la verificación de la firma del certificado. Esto hace que cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegación de servicio.

Hay que tener en cuenta que no es la primera vulnerabilidad que afecta a OpenSSL en lo que va de año. Hace algo más de un mes hubo otra registrada como CVE-2022-0778, pero en esa ocasión fue calificada de gravedad moderada, con una puntuación CVSS de 5,9, por lo que no era tan importante como esta de la que hablamos ahora.

Fallo de OpenSSL

Solución disponible

Este grave fallo que afecta a OpenSSL y permite bloquear servidores de forma remota afecta a las versiones 1.0.2, 1.1.1 y 3.0. Rápidamente los responsables del proyecto se pusieron manos a la obra para lanzar una solución lo antes posible. De esta forma, lanzaron las versiones 1.0.2zd (disponible para clientes del soporte Premium), 1.1.1n y 3.0.2

El problema es que la versión 1.1.0 también se ve afectada, pero no va a recibir ninguna actualización al haber llegado al final de su vida útil. Sin embargo puede haber muchos usuarios que aún la utilicen y no hayan pasado a otras más recientes.

Los investigadores de seguridad han indicado que no hay evidencias de que esta grave vulnerabilidad haya sido explotada. No obstante, alertan de que hay diferentes escenarios en los que puede convertirse en un problema importante y es por ello que conviene actualizar lo antes posible y evitar problemas.

Una vez más se demuestra la importancia de contar siempre con las últimas versiones disponibles. Es esencial instalar cualquier actualización o parche que aparezca para un determinado sistema operativo, programa que usemos o controlador. De esta forma podrás evitar que haya vulnerabilidades que puedan ser aprovechadas por un pirata informático y comprometer tu información personal y el buen funcionamiento del equipo.

Existen opciones para comprobar certificados SSL TLS y vulnerabilidades en sitios web. Esto te ayudará también a saber cuándo una página puede tener algún problema relacionado con los certificados y encontrar una solución lo antes posible.