O bug Heartbleed, uma vulnerabilidade envolvendo o protocolo de criptografia OpenSSL que colocou os administradores de rede e usuários de internet em alerta essa semana, foi descoberto em equipamentos de rede Cisco e Juniper.
Ambas fabricantes foram avisadas, identificando produtos afetados e aqueles que ainda estão sob investigação com possibilidade de também estarem vulneráveis. O problema teria atingido roteadores, switches e outros equipamentos de rede onde senhas podem ser interceptadas por hackers, bem como outras informações sensíveis que trafegam pelas redes corporativas.
A Cisco identificou 16 produtos afetados, incluindo fones Cisco IP, TelePresence Video Communication Server, Mobility Service Engine, a versão 2.x do WebEx Meeting Server e MS200X Ethernet Switch. A provedora listou, ainda, mais 60 equipamentos que estão sob análise quanto ao bug (mas informou que nenhum desses hospedava serviços que foram impactados).
A empresa negou-se a responder a reportagem de CRN EUA, mas afirmou que continuará aconselhando a atualização de seus produtos impactados a medida que mais informações estejam disponíveis. Além disso, lançará softwares grátis endereçados à solução do problema.
Do outro lado, a Juniper identificou oito produtos que podem estar vulneráveis. A lista inclui o Junos OS 13.3R1, certas versões de seu Network Connect, Pulse e Odissey versões 5.6r5. “Estamos encorajando os clientes a entrarem em contato com nosso centro de suporte para detalhamento de ações e atualização de produtos”, disse um porta-voz da companhia, em e-mail.
De acordo com um relatório do integrador de sistemas de segurança Accuvant, outros fabricantes, incluindo F5 Network, Red Hat, CheckPoint também tomaram conhecimento de produtos vulneráveis.
Coração sangrando
Heartbleed é uma falha grave descoberta no OpenSSL que expõe quase todo mundo que usa a internet. A vulnerabilidade – através da qual invasores podem chegar a servidores sem deixar nenhum rastro – foi descoberta pela equipe de segurança do Google.
OpenSSL provavelmente é parte do uso da web de todas as pessoas. O servidor Apache, responsável por quase metade de toda a web, usa OpenSSL. Grande parte de aplicativos e sites também usam o sistema para criptografar dados enviados. E é nele onde foi descoberto um grande bug chamado “Heartbleed” por especialistas de segurança, entre eles, Neel Mehta da equipe de segurança do Google.
Companhias como Amazon Web Services, Yahoo, Tumblr, entre outras, já afirmaram que estão atualizando seus softwares de OpenSSL com um patch lançado recentemente. A AWS, inclusive, publicou um boletim de segurança detalhando quais serviços foram atualizados em resposta ao Heartbleed.
por Kristin Bent | CRN EUA