Mantenga los servidores CentOS 6 a salvo de una nueva vulnerabilidad de OpenSSL

CloudLinux ofrece soporte extendido hasta 2024 para mantener sus servidores CentOS 6 seguros frente a una nueva vulnerabilidad de OpenSSL.

OpenSSL lanzó recientemente un parche de seguridad para un hallazgo de alto nivel que afecta a cualquier servidor que ejecute las versiones 1.0.2 y 1.1.1. Desafortunadamente, OpenSSL anunció que no lanzaría parches para CentOS 6, solo CentOS 7 y CentOS 8. Esto deja a cualquier servidor que ejecute OpenSSL sin parches, incluido el sistema operativo CentOS 6, vulnerable a la denegación de servicio (DoS) donde el software, los servicios críticos, o el sistema operativo podría bloquearse. Sin embargo, CloudLinux parcheará las versiones actuales de OpenSSL, la versión 1.0.1 no compatible y los servidores que ejecutan el sistema operativo CentOS 6.

Detalles de vulnerabilidad para CVE-2020-1971

OpenSSL tiene una función llamada GENERAL_NAME_cmp() que compara dos parámetros y realiza las siguientes dos acciones:

  1. Compara un certificado X.509 con los elementos de una lista de revocación de certificados (CRL).
  2. Compara una marca de tiempo del firmante del token de respuesta con la marca de tiempo de un nombre de autoridad.

La función es importante en la comunicación segura para garantizar que el certificado no haya sido revocado. Las organizaciones de la autoridad de certificación (CA) revocan los certificados por varios motivos. Si las claves privadas de un servidor son robadas debido a un compromiso, una CA revocará los certificados para proteger la integridad de la comunicación. Otras razones para la revocación incluyen el uso indebido del certificado y la publicación de uno nuevo, la CA está comprometida o la CA creó certificados sin la autorización del propietario del dominio. En cualquiera de estos casos, un atacante podría hacerse pasar por el dominio objetivo y engañar a los usuarios para que confíen en un sitio, lo que podría conducir a un ataque de phishing sofisticado y la divulgación de datos confidenciales.

Si un atacante puede controlar ambos parámetros pasados ​​al GENERAL_NAME_cmp() función, se cumplirá una condición DoS si ambos parámetros son del mismo tipo. Un investigador de Google que encontró la vulnerabilidad pudo realizar una demostración de prueba de concepto pasando a la función dos parámetros del tipo EDIPartyName definido en código OpenSSL.

El parche para la vulnerabilidad, ID asignado CVE-2020-1971 se lanzó el 8 de diciembre de 2020. Los cambios en el código fuente abierto se pueden encontrar en Github de OpenSSL repositorio . Puede leer más sobre la vulnerabilidad en OpenSSL’s anuncio página.

¿Qué puede pasar si OpenSSL se deja sin parchear?

Si bien la ejecución remota de código (RCE) no es una preocupación, los servidores sin parches podrían estar sujetos a DoS y, potencialmente, a una condición de denegación de servicio distribuido (DDoS) en la que los servicios podrían desconectarse y no estar disponibles para los usuarios. Los servidores críticos que deben permanecer disponibles para la productividad empresarial o deben estar en línea para cumplir con los acuerdos de nivel de servicio podrían ser un objetivo para los atacantes. CVE estableció el nivel de riesgo en “Alto”, lo que significa que se considera una vulnerabilidad grave para las organizaciones. Solo las vulnerabilidades etiquetadas como “Críticas” son más graves, y estas vulnerabilidades ocurren aproximadamente una vez cada cinco años.

Mitigación con soporte extendido para CentOS 6 y/o KernelCare+

CloudLinux Extended Support para CentOS 6 tiene este parche de seguridad disponible para sus clientes. El fin de la vida útil (EOL) de CentOS 6 fue en noviembre de 2020, pero CloudLinux ofrece soporte extendido hasta 2024 para mantener los servidores seguros de la vulnerabilidad openSSL hasta que los administradores puedan actualizar a versiones más nuevas del sistema operativo. Para suscribirse a soporte extendido, llene este formulario .

KernelCare también tiene soporte de parches en vivo para OpenSSL, así como varios otros bibliotecas compartidas .

Instalación del soporte extendido de CloudLinux para CentOS 6

La instalación de CloudLinux Extended Support requiere solo unos pocos comandos.

Descargue el script del instalador:

                      
                        wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py
                      
                    

Ejecute el script del instalador (tenga en cuenta que necesita su clave de licencia):

                      
                        python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX
                      
                    

El comando anterior instalará el centos-els-release paquete que contiene la clave PGP del repositorio. Puede asegurarse de que la instalación esté completa ejecutando el siguiente comando:

                      
                        rpm -q centos-els-release
                      
                    

La salida del comando anterior debería mostrar:

                      
                        centos-els-release-6-6.10.1.el6.x86_64
                      
                    

Nota: Los Clientes existentes que todavía ejecutan CentOS a partir del 1 de diciembre de 2020 se convirtieron automáticamente al soporte de EOL.

Instalación de KernelCare+

KernelCare+ es tan fácil como instalar CloudLinux ES. Para instalar KernelCare+, ejecute uno de los siguientes comandos:

                      
                        curl -s -L https://kernelcare.com/installer | bash
                      
                    

O,

                      
                        wget -qq -O - https://kernelcare.com/installer | bash
                      
                    

Para obtener más información sobre la instalación de KernelCare+, consulte el sitio web oficial documentación .

Conclusión

Los investigadores indican que esta vulnerabilidad de OpenSSL es mucho más difícil de explotar, pero esto no significa que deba retrasar la aplicación de parches a sus servidores. Ya sea que planee hacerlo manualmente, actualice a la versión más nueva de OpenSSL u opte por la aplicación de parches en vivo de KernelCare+, ¡hágalo de inmediato! OpenSSL sigue siendo una de las tecnologías más dirigidas al software, y los ataques DDoS son más frecuentes de lo que parece.

Lectura relacionada:

  • 5 herramientas Kernel Live Patching que ayudarán a ejecutar servidores Linux sin reiniciar

Related Posts