US-CERT advierte de https interception

US-CERT está advirtiendo que los productos de seguridad que realizan HTTPS intercepción podría debilitar la seguridad general de la empresa.

Https interception es un método en el que los productos de seguridad establecieron un proxy man-in-the-middle para el tráfico HTTPS. El proxy se interpone entre el cliente y el servidor remoto y el tráfico HTTPS intercepta, inspeccionandolo en busca de malware, y la reconstrucción de la conexión.

El problema viene del hecho de que muchos productos de seguridad, tales como firewalls o antivirus, no pueden reconstruir las conexiones SSL con los mismos clientes y servidores estándares negociados.

"Muchos de los productos de Https interception no verifican adecuadamente la cadena de certificados del servidor antes de volver a la codificación y la transmisión de los datos del cliente, lo que permite la posibilidad de un ataque MITM," segun anuncio de US-CERT. "Además, errores de verificación de la cadena de certificado se transmiten con poca frecuencia para el cliente, lo que lleva a un cliente para creer que las operaciones se llevaron a cabo como se pretende con el servidor correcto."

El aviso del CERT se produjo después de que un grupo de expertos en seguridad publica un trabajo de investigación en el inicio del mes titulado "La repercusión de seguridad de HTTPS interceptación ."

El equipo de investigación, formado por expertos de Google, Mozilla, Cloudflare, y la Universidad de Michigan, mostró que alrededor del 62% de las conexiones HTTPS que han estudiado destacados "reduce la seguridad", mientras que el 58% contenía "vulnerabilidades graves."

"Investigamos antivirus populares y servidores proxy corporativos, encontrando que casi todos reducen seguridad de conexión.

"Si bien la comunidad de seguridad ha sabido desde hace mucho tiempo que las conexiones de los productos de seguridad de intercepción, se han ignorado en gran medida el problema, en la creencia de que sólo una pequeña fracción de las conexiones se ven afectados. Sin embargo, nos encontramos con que la interceptación se ha convertido sorprendentemente generalizada y con consecuencias preocupantes."

Will Dormann, un analista de la vulnerabilidad por US-CERT también ha publicado una entrada en el blog que detalla los peligros de la interceptación indebida HTTPS, y puso de relieve los posibles problemas tales como:

  • Validación incompleta de la validez del certificado aguas arriba
  • No transmitir la validación del certificado de aguas arriba al cliente
  • La sobrecarga de campo del certificado de nombre canónico (CN)
  • El uso de la capa de aplicación para transmitir certificado de validez
  • El uso de una cabecera HTTP User-Agent para determinar cuándo debe validar un certificado
  • Comunicación antes advirtiendo
  • Certificado raíz CA Igual

Dormann también publicó una lista de productos de seguridad que realizan HTTPS intercepción y puede ser posiblemente afectadas

A10 vThunder, Arbor Networks Pravail, Barracuda Web Filter, Bascom School Web Filter, Bloxx Web Filter, Blue Coat Visibilidad SSL Appliance, Verificar la pérdida de datos Punto Prevention (DLP), Anti-Virus, Anti-Bot, control de aplicaciones, filtrado de URL, emulación de amenazas e IPS., Cisco ScanCenter, Citrix NetScaler AppFirewall, Clearswift SEGURO Web Gateway, ContentKeeper, Cymphonix Internet Management Suite Dell SonicWALL, EdgeWave iPrism Web Security, ESET Smart Security, F5 BIG-IP, Fortinet FortiGate, Fidelis seguridad XPS, Finjan Vital Seguridad, GFI WebMonitor, Gigamon GigaSmart, Protección de la red de seguridad de IBM, iboss Web Security, iSheriff Cloud Security, Juniper dispositivos de desplazados internos de Kaspersky anti-Virus

Komodia SSL Decoder, M86 Secure web Gatewayr, McAfee web gateway y Servidor de seguridad Enterpriser, TMG Microsoft Forefront, NetNanny, NextGig Netronome, Optenet WebFilter, Palo Alto PAN-OS, Panda Cloud Internet Protection, PrivDog, Radware AppXcel, SafeNet eSafe web Security gateway, Sangfor IAM, Smoothwall Secure web gateway, Sophos Cyberoam, Sourcefire SSL Appliance, calamar, Symantec web gateway, Thomason tecnologías de próxima generación IPS, Trend Micro Deep Security, Trustwave WebMarshal, Secure web gateway, Desenredar GN Firewall, Venafi TrustAuthority, VSS Monitoring vInspector, WatchGuard Proxy HTTPS, Wavecrest CyBlock, WebSense contenido puerta de enlace, WebTitan, Qbik WinGate, WolfSSL SSL inspección, Zscaler, ZyXel Firewall


Otroas paginas que puedes visitar: