BlackBerry alerta que muchos de sus productos son vulnerables a Freak
Algunas versiones de BlackBerry OS, BlackBerry Enterprise Server y BlackBerry Messenger presentan la vulnerabilidad en OpenSSL Freak que los hace susceptibles de sufrir ataques man-in-the-middle.
- La vulnerabilidad Freak también afecta a Windows
- En 2014 volvió a dispararse el número de vulnerabilidades
- Fugas de datos accidentales y vulnerabilidades de software encabezan las amenazas internas
- Investigadores de Google detectan una vulnerabilidad que afecta a SSL 3.0
- La vulnerabilidad Sandworm de Windows es utilizada para lanzar nuevos ataques
BlackBerry está advirtiendo a sus clientes de que una gran parte de su cartera de productos es vulnerable Freak, incluidas múltiples versiones del sistema operativo BlackBerry, entre ellas BlackBerry 10; de BlackBerry Enterprise Server (BES) y de BlackBerry Messenger (BBM). La compañía todavía está tratando de determinar el alcance del efecto de la vulnerabilidad sobre sus productos. “BlackBerry está trabajando para determinar el impacto del problema y encontrar el mejor método para proteger a los clientes”, señala en un comunicado.
En el comunicado, BlackBerry explica que Freak permite a un atacante aprovechar el hecho de que algunos clientes SSL, incluyendo OpenSSL, aceptarán claves de cifrado RSA de 512 bits débiles en algunas circunstancias. Un atacante que sea capaz de ejecutar un ataque man-in-the-middle contra un objetivo utilizando una clave débil puede entonces interceptar la clave offline. Debido a que algunos servidores utilizarán la misma clave de forma indefinida, un atacante podría descifrar todas las futuras sesiones cifradas en ese servidor.
"Esta debilidad podría permitir a un atacante que sea capaz de interceptar y modificar el tráfico SSL cifrado a forzar un cifrado más débil, que podría ser roto por un ataque de fuerza bruta. Para aprovechar esta vulnerabilidad, un atacante debe completar con éxito un ataque man-in-the-middle. Este problema fue abordado en OpenSSL 1.0.1k y una revisión está disponible para su integración en los productos de BlackBerry afectados", señala el comunicado.