Cyberoam soluciona una brecha en los certificados SSL de sus dispositivos UTM
Cyberoam ha emitido un parche de urgencia para sus dispositivos UTM después de que la clave privada predeterminada para la inspección de tráfico SSL se filtrara en Internet.
El fabricante de hardware de seguridad de red Cyberoam ha lanzado una actualización OTA (over-the-air) para sus appliances de gestión de amenazas unificada (UTM) con el objetivo de forzar a sus equipos a utilizar una única autoridad de certificación (CA) SSL que certifique la interceptación de tráfico SSL en redes corporativas.
La compañía se ha visto forzada a emitir dicha actualización después de que un usuario anónimo publicara en Internet la clave SSL privada que todos los dispositivos Cyberoam utilizan por defecto. “Como la clave privada se ha filtrado, hay posibilidades de que pueda utilizarse de forma incorrecta y, por ello, hemos tomado una acción inmediata y lanzado una actualización vía OTA que cambia el CA predefinido y protege a los clientes”, explica Abhilash Sonwane, vicepresidente senior de gestión de producto de Cyberoam, en un email.
Una vez aplicada la revisión, cada appliance tendrá su certificado CA único. Los clientes deberían ver una notificación de que se ha cambiado el certificado CA en el cuadro de mandos de administración de sus dispositivos, añade Sonwane. Pero si por alguna razón falla la actualización y no aparece la alerta en el cuadro de mando, los clientes pueden generar su propio certificado CA único utilizando la interfaz de línea de comandos, una opción que siempre ha estado disponible.
Runa A. Sandvik, investigador de Tor Project, y Ben Laurie, ingeniero de seguridad de software de Google, revelaron el pasado 3 de julio que todos los dispositivos Cyberoam con capacidades de inspección de tráfico SSL habían estado utilizando por defecto el mismo certificado CA, generado de forma automática. Esto hacía posible “interceptar tráfico de cualquier victima de un dispositivo Cyberoam con cualquier otro equipo Cyberoam, extrayendo la clave del dispositivo e importándola a otros equipos DPI, y utilizándolos para la intercepción”, explicaban los investigadores en una alerta de seguridad.
Cyberoam ha admitido que todos sus dispositivos utilizaban el mismo certificado CA por defecto. Sin embargo, ha negado que la clave privada que corresponde a estos certificados pudiera ser exportada de los dispositivos.
Sonwan siente que, en esta ocasión, le ha tocado a Cyberoam ser noticia, pues toda la industria utiliza la misma metodología de envío de un certificado CA predeterminado con equipos capaces de llevar a cabo inspección de tráfico SSL. “Como empresa, nos lo estamos tomando como una nota positiva, ya que estos cambios inmediatos (la generación de un CA único) están llevando a nuestros equipos a un nivel de seguridad mayor que el resto de la industria”, dijo.
