Heartbleed et routeurs / ASA / autres
OK, j'ai donc entendu parler de Heartbleed il y a quelques heures à travers le flux de questions d'échange de pile, et après un moment de panique, j'ai réalisé que les seuls serveurs Web que j'ai sécurisés via OpenSSL sont sur le réseau interne. Correctif de toute façon, mais maintenant je me suis gratté la tête pour savoir si les autres services sont vulnérables ou non. Plus précisément, je me pose des questions sur les périphériques de type routeur tels que:
- Cisco ASA
- Routeurs DD-WRT
- NAS avec prise en charge VPN
Je crois que certains d'entre eux utilisent OpenSSL pour des choses comme SSH, VPN point à point ou site à site, les mini serveurs Web qu'ils exécutent pour l'interface d'administration, etc. Mais je me suis cogné la tête contre un mur en essayant de trouver les versions fonctionnant sur leur. Par exemple, sur notre périphérique DD-WRT, je n'ai même pas pu trouver une commande OpenSSL dans le système de fichiers, alors peut-être que je me trompe en utilisant OpenSSL.
Je suis assez sûr que l'ASA en cours d'exécution 8.4 est sur 0.9.8 et donc sûr (mais j'aimerais vraiment une confirmation car, encore une fois, je n'ai pas pu le trouver avec certitude dans les interfaces ASDM ou telnet), et si c'est vrai, je suppose que nous pouvons supposons que les anciennes versions d'ASA seront également sécurisées.
Quelqu'un a-t-il des informations sur ce type d'appareils?
Edit: j'ai lu cesméta questions (elles sont sur SO, mais je pense qu'elles peuvent être agnostiques à la pile, pour ainsi dire) pour essayer de comprendre quelle est la meilleure pratique ici, car je pense que la bonne réponse peut en fait être une combinaison de ce qui est ici. C'est probablement ma faute autant que tout autre, car je suppose que c'est en fait une question complexe en soi. J'ai envisagé de publier ma propre réponse et de l'accepter en combinant les informations disponibles sur plusieurs appareils, ainsi que ce que j'ai trouvé sur les numéros de build DD-WRT concernés, mais je me demande si ce n'est pas un peu grossier étant donné que vous avez fourni la plupart des et de cette façon, je refuse à TOUS le représentant de réponse accepté. Je sais que la pratique acceptée (à partir de ces liens meta.SO) semble être de choisir la meilleure selon mes propres conditions et de voter pour le reste (cette dernière est faite), mais différentes réponses ici sont également bonnes pour différentes parties de mon question. Des pensées? (Même si cette modification doit être une question meta.sec qui lui est propre? J'hésite à le faire quand la question semble être posée tant de fois déjà sur d'autres méta)
J'ai trouvé un bon article d'un ingénieur de support Cisco concernant l'ASA:
Cependant, si vous essayez de trouver la version OpenSSL pour un ASA (Adaptive Security Appliance), vous pouvez déterminer cette version à partir des notes de version ASA. Examinez simplement les notes "Open Source" qui se trouvent dans les notes de publication de l'image ASA particulière qui vous concerne. Par exemple, à partir des notes de version ASA 8.4, vous trouverez une section intitulée "Documentation associée", qui a un lien pointant vers "Documentation de la série ASA". De là, vous trouverez un lien pour "Licence Open Source". Cela vous amènera à une page "Open Source" qui révèle que la version d'OpenSSL qui s'exécute sur le code ASA 8.4 est "0.9.8f"
Pour cette raison, ni 8.4 (x) ni 9.1 (x) ne sont vulnérables car ils utilisent des parties de la version 0.9.8f d'OpenSSL
DD-WRT utilise OpenSSL 1.0.1 et est vulnérable. Il y a eu une mise à jour publiée il y a seulement 22 heures sur la page trac: http://svn.dd-wrt.com/browser/src/router/openssl
Vous pouvez afficher le fichier CHANGES pour plus de détails.
Sur mon routeur DD-WRT, accédez via ssh
Tout d'abord, j'ai pu voir que la version sur/usr/lib/libssl * est 0.9.8. L'exécution de chaînes sur ladite lib montre v 0.9.8 dans
$ strings /usr/lib/libssl.so.0.9.8 | grep OpenS
OpenSSLDie
SSLv2 part of OpenSSL 0.9.8l 5 Nov 2009
SSLv3 part of OpenSSL 0.9.8l 5 Nov 2009
TLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
DTLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
OpenSSL 0.9.8l 5 Nov 2009
p.s. J'ai également eu EOF sur l'outil de filippo.io, mais ce n'est tout simplement pas implémenté une partie du test ( http://filippo.io/Heartbleed/faq.html#wentwrong =)
De Cisco Security Advisory on OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products (Advisory ID: Cisco-sa-20140409-heartbleed, 9 avril 2014):
Produit vulnérable
Les produits Cisco suivants sont affectés par cette vulnérabilité:
- Client de mobilité sécurisée Cisco AnyConnect pour iOS
- Expérience de collaboration de bureau Cisco DX650
- Téléphones IP Cisco Unified 7900, 8900, 9900
- Serveur de communication vidéo Cisco TelePresence (VCS)
D'autres produits Cisco peuvent être affectés par cette vulnérabilité. La liste des produits concernés sera mise à jour au fur et à mesure que l'enquête se poursuit.
et
Produits confirmés non vulnérables
Les produits Cisco suivants ont été analysés et ne sont pas affectés par cette vulnérabilité:
- Logiciel Cisco Adaptive Security Appliance (ASA)
- Moteur de contrôle des applications Cisco ACE
- Client de mobilité sécurisée Cisco AnyConnect pour plates-formes de bureau
- Client de mobilité sécurisée Cisco AnyConnect pour Android
- Commutateurs de services de contenu Cisco CSS 11500
Synology est affecté mais prépare une mise à jour pour DSM 5 et DSM 4.3 demain. Un patch pour DSM 4.2 sera livré dans une semaine.
D'un communiqué que j'ai obtenu de Synology (je suis journaliste):
Synology® DSM 5.0 sécurisé contre la vulnérabilité Heartbleed d'OpenSSL
Taipei, Taïwan - 11 avril 2014 - Synology® Inc. publie aujourd'hui la dernière mise à jour 2 DSM 5.0-4458 pour résoudre la vulnérabilité CVE-2014-0160 (également connue sous le nom de bogue Heartbleed) dans le logiciel OpenSSL.
Comme OpenSSL est l'une des plus grandes bibliothèques de chiffrement sur Internet aujourd'hui et a été utilisée par de nombreux sites Web, Synology a pris des mesures immédiates pour atténuer ce problème:
- Pour DiskStation et RackStation exécutant DSM 5.0 et DSM 4.3, il est fortement recommandé d'appliquer DSM 5.0-4458 Update 2 via le Panneau de configuration et de renouveler la certification SSL (lire la suite dans l'Avis de sécurité).
- Pour DiskStation ou RackStation exécutant DSM 4.2, le correctif sera livré dans une semaine.
- Les serveurs MyDS Center ont été corrigés et sont sûrs à utiliser. Cependant, il est fortement suggéré aux utilisateurs de MyDS Center de changer le mot de passe MyDS pour assurer la sécurité de leurs informations personnelles.
Synology considère la sécurité des données et des systèmes comme l'une de ses principales directives et continuera à consacrer des ressources pour équiper nos solutions de mesures de sécurité fiables afin de prévenir les menaces potentielles. Si les utilisateurs ont besoin d'aide avec leurs systèmes après avoir été mis à niveau vers la dernière version de DSM ou s'ils ont d'autres questions, veuillez contacter [email protected].
en ce qui concerne DD-WRT, cela dépend de la version. Un grand nombre des versions "actuelles" de DD-WRT sont antérieures à l'introduction de la fonction de pulsation (2012) et de la vulnérabilité de sécurité associée dans openssl. Si votre DD-WRT a été construit depuis 2012, il est vulnérable. La version de DD-WRT que j'utilise sur mes routeurs internes date du 11/12 et lorsque j'exécute le test heartbleed, j'ai cloné depuis filippo.io contre eux, j'obtiens "ERREUR: EOF". : -/Mon routeur Internet (ne fonctionne pas sur DD-WRT) est OK.
J'ai également vérifié ma synologie qui exécute la version avant la version actuelle (5.0) et elle est vulnérable. J'ai désactivé l'accès depuis Internet jusqu'à ce que Synology publie un correctif pour cela et j'ai la possibilité de l'appliquer.
Il y a une liste ici:
https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929