No hay evidencia de exploits de FREAK y ningún parche no debería causar complacencia
La demora en parchear la falla de FREAK no causará problemas a los usuarios, particularmente porque actualmente no hay evidencia de exploits.
En un correo electrónico a IT Security Guru, TK Keanini, CTO de Lancope, dijo que la explotación adecuada de esta falla es difícil porque hay múltiples requisitos para el atacante, a diferencia de otras vulnerabilidades en las que todo lo que tenían que hacer era ejecutar el exploit.
«Por esta razón, no creo que la demora [in releasing a patch] es algo malo porque una solución y una prueba adecuada de esa solución es importante, ya que no queremos introducir aún más vulnerabilidades ”, dijo.
Mark James, especialista en seguridad de ESET, dijo que una vez que una falla se ha hecho pública, cualquier retraso aumentará las posibilidades de que sea explotada. “Si bien es posible que un pequeño número de personas ya sea consciente de este defecto, una vez que se haga público, cualquier número de personas puede intentar utilizarlo por las razones equivocadas”, dijo.
“Ciertamente es una buena noticia que actualmente no hay evidencia de exploits, sin embargo, la evidencia y la práctica no necesariamente van de la mano. Obtener este parche lo antes posible por todas las partes del software afectadas es una prioridad y es bueno ver que algunas ya lo han hecho «.
Revelado ayer, el defecto FREAK (Factoring attack on RSA-EXPORT Keys) permite la interceptación de clientes y servidores vulnerables y los obliga a usar criptografía de ‘grado de exportación’, que luego puede descifrarse. La técnica podría usarse para descifrar el nombre y las contraseñas de los usuarios, así como otros datos confidenciales que los usuarios puedan pensar que están protegidos por SSL. De acuerdo a Grupo NCC, actualmente no hay evidencia de que los atacantes hayan logrado explotar las debilidades todavía. De acuerdo a Reuters, Apple ha dicho que se lanzará una actualización de software la próxima semana, mientras que Google dijo que la compañía también ha desarrollado un parche, que ha proporcionado a sus socios.
Keanini dijo: “Solo los más sofisticados y avanzados podrían lograrlo y esos son los tipos de atacantes que solo aparecen en las noticias cuando eligen hacerlo. Muy pocos atacantes tienen la capacidad de meterse en medio del tráfico de su red.
«Esto no significa que la vulnerabilidad no pueda ser explotada, solo significa que será mucho más específica y solo un pequeño puñado de atacantes tendrá la oportunidad en este momento».
Gavin Millard, director técnico de Tenable Network Security para EMEA, le dijo a IT Security Guru que sentía que FREAK era un problema mucho menor que Heartbleed y similar a POODLE, pero aún así valía la pena tomar nota y solucionar los problemas donde estaban presentes.
Dijo: “Con todos los errores importantes de este tipo, es importante que los sistemas afectados se identifiquen y actualicen cuando los parches estén disponibles para reducir el riesgo de que se explote esta vulnerabilidad. OpenSSL tiene un parche disponible ahora, las actualizaciones del cliente deberían seguir en los próximos días «.
Phil Lieberman, CEO de Lieberman Software Corporation estuvo de acuerdo en que FREAK es una amenaza de baja probabilidad, por lo que se necesita hacer poco, pero los sitios web recomendados o los sistemas integrados que pueden verse comprometidos por los estados nacionales que utilizan esta técnica, deberán actualizar sus servidores web para utilizar una versión más moderna de OpenSSL
Dijo que Heartbleed era una falla grave y prevalente que afectaba a la mayoría de los usuarios que interactuaban con servidores web basados en código abierto, y un escenario de «debe parchear» para los sitios conectados a Internet. «FREAK es una técnica interesante, pero no debería mantener a nadie despierto por la noche a menos que su conexión a Internet esté intervenida o esté usando WiFi sin cifrado y autenticación», dijo.