Ayer 7 de Abril de 2014 se publicó en internet una vulnerabilidad de seguridad crítica (CVE-2014-0160) en la extensión heartbeat de OpenSSL, que afecta a un gran número de servicios como servidores Web, sistemas de correo electrónico y que aparentemente también puede afectar a heartbeat en WiFi.

El problema de seguridad de heartbeat permite leer remotamente fragmentos de memoria del servicio remoto que usa OpenSSLcon TLS. Debido a la gravedad del fallo es imprescindible que todo el mundo proceda a actualizar todo el software que dependa de OpenSSL y reiniciar los servicios para intentar contener el ataque. En el momento de escribir este artículo ya hay constancia de la explotación de esta vulnerabilidad en internet y el robo de claves criptográficas, cookies y usuarios y contraseñas en portales como Yahoo.

El campo length de heartbeat son dos bytes de tamaño. OpenSSL no comprueba correctamente el tamaño del heartbeat y confía en la longitud de la estructura que proporciona el usuario. Como resultado, se pueden leer 64k de datos del servicio remoto.Comprueba si eres vulnerable aquí: https://filippo.io/Heartbleed/

OpenSSLheartbeat en WiFi

OpenSSL y heartbeat en WiFi puede ser un problema con 802.1x

Dado que servicios de Radius como freeradius también hace uso de conexiones TLS en autenticación WPA Enterprise (802.1x), Heartbeat en WiFi es un problema de seguridad real que puede permitir el acceso no autorizado a la red WiFi corporativa.

Un atacante debería encapsular los mensajes como los enviados por el script Heartbleed y podría ser capaz de obtener información del servidor radius, posibilitando el acceso a la red WiFi privada.

Mientras se confirma la viabilidad de realizar este ataque en redes con EAP-TLS y otros mecanismos de autenticación que usan túneles TLS, es recomendable revisar las actualizaciones de seguridad del fabricante y desplegarlas cuando sea posible. No os olvidéis de actualizar el servidor radius y actualizar el servicio para proteger vuestras redes WLAN.

El parche de OpenSSL del Dr. Stephen Henson, el mismo que introdujo el bug hace dos años, está disponible aquí .