Visão Geral

A vulnerabilidade permite a um atacante obter dados em memória que podem expor dados sensíveis como senhas e chaves privadas de criptografia.
Produtos Afetados:

  • Todos os sistemas e produtos que utilizem OpenSSL nas versões 1.0.1 até 1.0.1f e 1.0.2-beta.

 

Impacto

Devido ao caráter do ataque as soluções de IDS/IPS e logs provavelmente não registraram qualquer violação, não sendo possível determinar se a vulnerabilidade foi explorada.

Solução / Mitigação

  • Testar se seu sistema está vulnerável. http://filippo.io/Heartbleed/
  • Atualizar os sistemas para versão mais recente do OpenSSL. Caso não seja possível atualizar, recompilar a versão atual com a opção -DOPENSSL_NO_HEARTBEATS.
  • Se possível, gerar novamente suas chaves privadas, revogar e renovar seus certificados digitais.
  • Solicitar que os usuários troquem suas senhas assim que possível.
  • Incluir em nas assinaturas de IPS/IDS a verificação das chamadas de heartbeat observando se os tamanhos da requisição e da resposta coincidem. Sistemas IPS como Snort e Suricata já possuem regras para detecção da vulnerabilidade.