Equipamento de rede corporativa vulnerável a problemas cardíacos

14

Em 04/09/2014, a vulnerabilidade The Heartbleed foi divulgada pela equipe do OpenSSL .

O Heartbleed Bug é uma vulnerabilidade séria na popular biblioteca de software criptográfico OpenSSL. Essa fraqueza permite roubar as informações protegidas, em condições normais, pela criptografia SSL / TLS usada para proteger a Internet.

Podemos criar uma lista de dispositivos de rede corporativos vulneráveis ​​ao coração partido ?

security radicetrentasei
fonte
1
Naturalmente, algo no vasto oceano de sistemas embarcados em rede estava usando bibliotecas openssl vulneráveis; no entanto, qual é o objetivo da sua pergunta? Deseja criar uma lista de dispositivos vulneráveis? Se sim, por favor, faça deste um wiki da comunidade ... na maioria das circunstâncias, eu consideraria isso uma pesquisa; no entanto, um mod em outro site me deu a idéia de wiki da comunidade para esse tipo de lista ilimitada, mas objetivamente verificável ... essa pergunta parece se encaixar. Podemos adicionar uma resposta para listar todos os dispositivos. Se o seu objetivo não é listar todos os dispositivos vulneráveis, por favor, esclarecer a sua intenção
Mike Pennington
1
Também iniciamos uma lista alternativa aqui: docs.google.com/spreadsheets/d/…
Josh Brower 14/14

Respostas:

13

Como em qualquer nova vulnerabilidade, seus impactos são amplos. Os dispositivos de infraestrutura não são diferentes. A maioria deles incorpora pacotes OpenSSL vulneráveis.

É quase impossível compilar uma lista de todos os produtos vulneráveis 1 , pois afeta qualquer coisa que incluísse as bibliotecas OpenSSL criadas com a implementação original de pulsação OpenSSL TLS até que o patch heartbleed fosse comprometido com a ramificação estável do OpenSSL ; no entanto, podemos listar os principais produtos dos fornecedores aqui.


Este é um wiki da comunidade, fique à vontade para contribuir.


Aruba

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • As versões anteriores desses produtos usavam uma versão anterior do OpenSSL que não é vulnerável .

Vulnerabilidade na biblioteca OpenSSL 1.0.1 (Heartbleed).

Redes de ponto de verificação

SK 100173 afirma que os produtos Checkpoint não são vulneráveis.

Cisco

Os seguintes produtos Cisco são afetados por esta vulnerabilidade:

  • Cliente de mobilidade segura do Cisco AnyConnect para iOS [CSCuo17488]
  • Experiência de colaboração de desktop Cisco DX650
  • Telefones IP Cisco Unified 7800 Series
  • Telefone IP Cisco Unified 8961
  • Telefone IP Cisco Unified 9951
  • Telefone IP Cisco Unified 9971
  • Cisco IOS XE [CSCuo19730]
  • Gerente das comunicações unificadas de Cisco (UCM) 10.0
  • Cisco Small Cell 5000 Series da Cisco executando o software V3.4.2.x
  • Cisco Small Cell 7000 Series da Cisco executando o software V3.4.2.x
  • Sistema de arquivos raiz da recuperação de fábrica do Small Cell V2.99.4 ou posterior
  • Switch de acesso Ethernet Cisco MS200X
  • Mecanismo de serviço de mobilidade da Cisco (MSE)
  • Servidor de comunicação de vídeo Cisco TelePresence (VCS) [CSCuo16472]
  • Condutor de TelePresença da Cisco
  • Supervisor de TelePresença Cisco MSE 8050
  • Servidor Cisco TelePresence 8710, 7010
  • Servidor Cisco TelePresence em mídias multipartidárias 310, 320
  • Servidor Cisco TelePresence na máquina virtual
  • Gateway Cisco ISP TelePresence 8321 e 3201 Series
  • Série de gateway serial Cisco TelePresence
  • Série de gateway IP Cisco TelePresence
  • Versões 2.x do Cisco WebEx Meetings Server [CSCuo17528]
  • Cisco Security Manager [CSCuo19265]

Cisco Security Advisory - Vulnerabilidade de extensão de pulsação OpenSSL em vários produtos da Cisco

D-Link

Em 15 de abril de 2014, a D-Link não tinha produtos vulneráveis.

Resposta a incidentes de segurança para dispositivos e serviços D-Link

Fortigar

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • Modelos FortiADC série D 1500D, 2000D e 4000D
  • FortiADC E-Series 3.x
  • Equalizador de ponto de coiote GX / LX 10.x

Vulnerabilidade de divulgação de informações no OpenSSL

F5

Em 10 de abril de 2014, os seguintes produtos / versões F5 são conhecidos por serem vulneráveis

  • Versões 11.5.0 - 11.5.1 do BigIP LTM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP AAM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP AFM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP Analytics (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP APM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP ASM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP GTM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do controlador do BigIP Link (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP PEM (interface Mgmt, cifras SSL compatíveis)
  • Versões 11.5.0 - 11.5.1 do BigIP PSM (interface Mgmt, cifras SSL compatíveis)
  • Clientes de borda BIG-IP para Apple iOS versões 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • Clientes de borda BIG-IP para Linux, versões 6035 - 7101 (VPN)
  • Clientes de borda BIG-IP para versões 6035 - 7101 (VPN) do Mac OSX
  • Clientes de borda BIG-IP para versões 6035 - 7101 do Windows (VPN)

Vulnerabilidade de OpenSSL do SOL 15159 da F5 Networks CVE-2014-0160

HP

Em 10 de abril

"Determinamos que os produtos que investigamos não são vulneráveis ​​devido ao uso de uma versão do OpenSSL que não é vulnerável ou não está usando o OpenSSL".

Comunicação em rede HP: Vulnerabilidade de OpenSSL HeartBleed

Huawei

Em 14 de abril

A investigação foi concluída e confirma-se que alguns produtos da Huawei foram afetados. A Huawei preparou um plano de fixação e iniciou o desenvolvimento e teste de versões fixas. A Huawei lançará um SA o mais rápido possível. Por favor fique atento.

Declaração de aviso de segurança sobre a vulnerabilidade de extensão de pulsação OpenSSL

Zimbro

Produtos Vulneráveis

  • Junos OS 13.3R1
  • Cliente Odyssey 5.6r5 e posterior
  • SSL VPN (IVEOS) 7.4r1 e posterior e SSL VPN (IVEOS) 8.0r1 e posterior (o código fixo está listado na seção "Solução")
  • UAC 4.4r1 e posterior e UAC 5.0r1 e posterior (o código fixo está listado na seção "Solução")
  • Junos Pulse (Desktop) 5.0r1 e posterior e Junos Pulse (Desktop) 4.0r5 e posterior
  • Network Connect (somente Windows) versão 7.4R5 a 7.4R9.1 e 8.0R1 a 8.0R3.1. (Este cliente é impactado apenas quando usado no modo FIPS.)
  • Junos Pulse (Mobile) na versão Android 4.2R1 e superior.
  • Junos Pulse (Mobile) na versão 4.2R1 do iOS e superior. (Este cliente é impactado apenas quando usado no modo FIPS.)

Juniper Knowledge Center - Boletim de segurança fora do ciclo 2014-04: Vários produtos afetados pelo problema "Heartbleed" do OpenSSL (CVE-2014-0160)

Palo Alto Networks

O PAN-OS não foi afetado pelo heartbleed

Soluções alternativas

Desative os recursos que utilizam SSL, se possível, e confiem no SSH que, como comentou Mike Pennington, não é vulnerável.

1 Esta listagem foi tirada em 10 de abril de 2014, os fornecedores ainda podem ter seus produtos sob investigação. Esta listagem não é uma diretriz de vulnerabilidade e serve apenas para fornecer ao pôster original uma compreensão do escopo do impacto nos equipamentos de rede.

Ryan Foley
fonte
3
Para sua informação, o OpenSSH não é vulnerável a pessoas de coração partido . Também os números assustadores sobre heartbleed que afetam 60% da internet são falsos. Somente as bibliotecas OpenSSL construídas nos últimos dois anos estão vulneráveis ​​(especificamente, aquelas com essa confirmação de pulsação TLS ). Esse número é muito inferior a 60% da internet.
Mike Pennington
Editado para refletir essas informações. Obrigado pela atenção. Presumi que as informações eram apenas iscas de clique, removerei isso também.
Ryan Foley
Você sabe qual versão do Cisco IOS XE é afetada?
@ Phil, se você seguir o link para a página da Cisco, haverá uma referência ao bug com informações detalhadas.
precisa saber é o seguinte