Heartbleed Bug e pfSense

Lunedì 7 Aprile 2014 rimarrà a lungo una data memorabile per l'intera comunità internet.

Stiamo parlando di Heartbleed, la vulnerabilità nel pacchetto OpenSSL che, da due anni, mette a richio di furto i dati di due terzi dei siti Internet.

Il 7 aprile il team di OpenSSL ha rilasciato un breve comunicato per dichiarare la vulnerabilità contrassegnata dal codice CVE-2014-0160 che affligge il pacchetto OpenSSL dalla versione 1.0.1 alla 1.0.1f
Nello stesso giorno è stato rilasciato il pacchetto OpenSSL 1.0.1g che provvede alla correzione della falla.

Sul web è possibile trovare ogni sorta di articolo che spiega in modo più o meno tecnico di cosa si tratta, per dovere di conaca vi segnalo heartbleed.com pubblicato da uno dei due team che ha scoperto la falla.

Sempre per dovere di cronaca segnalo anche due siti che permettono di effettuare un test per verificare se un server è affetto dal bug:

• filippo.io/Heartbleed realizzato da Filippo Valsorda, un diciannovenne italiano che dopo aver letto il comunicato di OpenSSL, nel giro di poche ore ha realizzato e pubblicato questo sito oramai noto ed usato in tutto il mondo.
• www.ssllabs.com/ssltest/index.html questo sito permette di fare una analisi approfondita della configurazione SSL di un sito web.

In quest'articolo vogliamo chiarire le questioni legate a Heartbleed dal punto di vista di pfSense. E dare risposta ad alcune semplici domande: I nostri firewall pfSense ne sono affetti? Esiste una patch da installare immediatamente? Cosa possiamo fare per ridurre il rischio? Cosa fare dopo aver posto rimedio alla falla?

Ora proveremo con ordine a dare una risposta a tutte queste domande.

I nostri firewall pfSense ne sono affetti?
Si se la versione è la 2.1 o la 2.1.1

Esiste una patch da installare immediatamente?
Si, è stata appena rilasciata la versione 2.1.2 per coprire questa falla.

Cosa possiamo fare per ridurre il rischio?
Se non si può aggiornare immediatamente il sistema è possibile comunque mettere in atto delle misure che tendono a ridurre la possibilità di attacco:

1. Disattivare l'accesso al management HTTP dall'esterno o limitare il range a pochi IP pubblici fidati;
2. Nelle VPN IpSec attivare la funzionalita Perfect Forward Secrecy (PFS);
3. Se possibile disattivare l'accesso OpenVPN.

Cosa fare dopo aver posto rimedio alla falla?
Non essendo possibile determinare se un sito è stato compromesso, la cose migliori da fare una volta installata la release 2.1.2 sono:

1. Revocare tutti i certificati emessi;
2. Riemettere tutti i certificati in uso;
3. Cambiare le password di tutti gli utenti;
4. Cambiare tutte le pre shared key.