Equipo de red empresarial vulnerable a heartbleed

14

En el 09/04/2014 vulerability El heartbleed fue revelada por el equipo de OpenSSL .

The Heartbleed Bug es una vulnerabilidad grave en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite robar la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para proteger Internet.

¿Podemos construir una lista de dispositivos de red empresariales que son vulnerables a los heartbleed ?

security radicetrentasei
fuente
1
Naturalmente, algo en el vasto océano de sistemas embebidos en la red estaba usando bibliotecas opensl vulnerables; sin embargo, ¿cuál es el objetivo de su pregunta? ¿Quieres crear una lista de dispositivos vulnerables? Si es así, haga de este un wiki comunitario ... en la mayoría de los casos, consideraría esto como una encuesta; sin embargo, un mod en otro sitio me dio la idea de wiki de la comunidad para este tipo de listas ilimitadas, pero objetivamente verificables ... esta pregunta parece encajar. Podemos agregar una respuesta para enumerar todos los dispositivos. Si su objetivo no es enumerar todos los dispositivos vulnerables, aclare su intención
Mike Pennington
1
También comenzamos una lista alternativa aquí: docs.google.com/spreadsheets/d/…
Josh Brower

Respuestas:

13

Como con cualquier nueva vulnerabilidad, sus impactos son de gran alcance. Los dispositivos de infraestructura no son diferentes. La mayoría de ellos incorporan paquetes vulnerables de OpenSSL.

Es casi imposible compilar una lista de todos los productos vulnerables 1 , ya que afecta todo lo que incluye las bibliotecas OpenSSL creadas con la implementación original de latidos OpenSSL TLS hasta que el parche heartbleed se confirmó en la rama estable de OpenSSL ; sin embargo, podemos enumerar los productos de los principales proveedores aquí.


Esta es una wiki comunitaria, no dude en contribuir.


Aruba

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • Las versiones anteriores de estos productos usaban una versión anterior de OpenSSL que no es vulnerable .

Vulnerabilidad de la biblioteca OpenSSL 1.0.1 (Heartbleed).

Redes de puntos de control

SK 100173 afirma que los productos Checkpoint no son vulnerables.

Cisco

Los siguientes productos Cisco están afectados por esta vulnerabilidad:

  • Cliente de movilidad segura Cisco AnyConnect para iOS [CSCuo17488]
  • Experiencia de colaboración de escritorio de Cisco DX650
  • Teléfonos IP Cisco Unified serie 7800
  • Teléfono IP Cisco Unified 8961
  • Teléfono Cisco Unified 9951 IP
  • Teléfono IP Cisco Unified 9971
  • Cisco IOS XE [CSCuo19730]
  • Cisco Unified Communications Manager (UCM) 10.0
  • Cisco Universal Small Cell 5000 Series con el software V3.4.2.x
  • Cisco Universal Small Cell 7000 Series con software V3.4.2.x
  • Sistema de archivos raíz de recuperación de Small Cell factory V2.99.4 o posterior
  • Conmutador de acceso Ethernet Cisco MS200X
  • Motor de servicio de movilidad de Cisco (MSE)
  • Servidor de comunicaciones de video Cisco TelePresence (VCS) [CSCuo16472]
  • Cisco TelePresence Conductor
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence Server 8710, 7010
  • Servidor Cisco TelePresence en medios multiparte 310, 320
  • Servidor Cisco TelePresence en máquina virtual
  • Cisco TelePresence ISDN Gateway serie 8321 y 3201
  • Serie de puerta de enlace serie Cisco TelePresence
  • Cisco TelePresence IP Gateway Series
  • Cisco WebEx Meetings Server versiones 2.x [CSCuo17528]
  • Cisco Security Manager [CSCuo19265]

Aviso de seguridad de Cisco: vulnerabilidad de extensión de latido de OpenSSL en varios productos de Cisco

D-Link

A partir del 15 de abril de 2014, D-Link no tiene productos vulnerables.

Respuesta a incidentes de seguridad para dispositivos y servicios D-Link

Fortigate

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • FortiADC D-Series modelos 1500D, 2000D y 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x

Vulnerabilidad de divulgación de información en OpenSSL

F5

A partir del 10 de abril de 2014, se sabe que los siguientes productos / lanzamientos de F5 son vulnerables

  • BigIP LTM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • BigIP AAM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • BigIP AFM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • Versiones de BigIP Analytics 11.5.0 - 11.5.1 (interfaz de gestión, cifrados SSL compatibles)
  • BigIP APM Versiones 11.5.0 - 11.5.1 (interfaz de gestión, cifrado SSL compatible)
  • BigIP ASM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • BigIP GTM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • BigIP Link Controller Versiones 11.5.0 - 11.5.1 (interfaz de gestión, cifrado SSL compatible)
  • BigIP PEM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • BigIP PSM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
  • Clientes Edge BIG-IP para Apple iOS Versiones 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • Clientes Edge BIG-IP para Linux Versiones 6035 - 7101 (VPN)
  • Clientes Edge BIG-IP para Mac OSX Versiones 6035 - 7101 (VPN)
  • Clientes BIG-IP Edge para las versiones de Windows 6035 - 7101 (VPN)

Vulnerabilidad de OpenSSL en SOL 15159 de F5 Networks CVE-2014-0160

HP

A partir del 10 de abril

"Hemos determinado que los productos que hemos investigado no son vulnerables debido al uso de una versión de OpenSSL que no es vulnerable o no está utilizando OpenSSL".

HP Networking Communication: vulnerabilidad de OpenSSL HeartBleed

Huawei

A partir del 14 de abril

La investigación se ha completado y se confirma que algunos productos de Huawei están afectados. Huawei ha preparado un plan de reparación y comenzó el desarrollo y prueba de versiones fijas. Huawei lanzará una SA lo antes posible. Por favor manténgase al tanto.

Declaración de aviso de seguridad sobre la vulnerabilidad de extensión de latido de OpenSSL

Enebro

Productos Vulnerables

  • Junos OS 13.3R1
  • Cliente Odyssey 5.6r5 y posterior
  • SSL VPN (IVEOS) 7.4r1 y posterior, y SSL VPN (IVEOS) 8.0r1 y posterior (el código fijo aparece en la sección "Solución")
  • UAC 4.4r1 y posterior, y UAC 5.0r1 y posterior (el código fijo aparece en la sección "Solución")
  • Junos Pulse (Desktop) 5.0r1 y posterior, y Junos Pulse (Desktop) 4.0r5 y posterior
  • Network Connect (solo Windows) versión 7.4R5 a 7.4R9.1 y 8.0R1 a 8.0R3.1. (Este cliente solo se ve afectado cuando se usa en modo FIPS).
  • Junos Pulse (Mobile) en Android versión 4.2R1 y superior.
  • Junos Pulse (Mobile) en iOS versión 4.2R1 y superior. (Este cliente solo se ve afectado cuando se usa en modo FIPS).

Centro de conocimiento de Juniper - Boletín de seguridad fuera de ciclo 2014-04: Múltiples productos afectados por el problema "Heartbleed" de OpenSSL (CVE-2014-0160)

Redes de Palo Alto

PAN-OS no se vio afectado por la hemorragia cardíaca

Soluciones

Desactive los recursos que utilizan SSL, si puede, y confíe en SSH que, como comentó Mike Pennington, no es vulnerable.

1 Este listado se tomó el 10 de abril de 2014, los vendedores aún pueden tener sus productos bajo investigación. Este listado no es una directriz de vulnerabilidad, y solo sirve para dar al póster original una comprensión del alcance del impacto en el equipo de red.

Ryan Foley
fuente
3
Para su información, OpenSSH no es vulnerable a las hemorragias cardíacas . Además, los números de miedo acerca de las hemorragias cardíacas que afectan al 60% de Internet son falsos. Solo las bibliotecas OpenSSL creadas en los últimos dos años son vulnerables (específicamente, aquellas con este compromiso de latido TLS ). Ese número es mucho más bajo que el 60% de internet.
Mike Pennington
Editado para reflejar esa información. Gracias por el aviso. Asumí que la información era solo un cebo de clic, lo eliminaré también.
Ryan Foley
¿Sabes qué versión de Cisco IOS XE se ve afectada?
@ Phil si sigue el enlace a la página de Cisco, habrá una referencia al error con información detallada.
radtrentasei