Palo Alto Networks ha anunciado que ofrece protección contra el error Heartbleed (vulnerabilidad CVE-2014-0160) para sus clientes empresariales.
Según una alerta del US Cert documentada el pasado 8 de abril de 2014, esta vulnerabilidad relativa a OpenSSL podría permitir a un atacante remoto exponer los datos sensibles, entre los que se incluyen credenciales de autenticación de usuario y claves secretas, a través de la manipulación incorrecta de la memoria en la extensión de heartbeat.
“La amplitud del riesgo para Heartbleed va más allá de las aplicaciones web, como Yahoo, Google y Facebook. Conseguir un buen control sobre todos los servicios vulnerables que conforman la superficie de ataque de una organización puede ser un desafío de enormes proporciones. Hay esperanza, sin embargo, gracias a que Palo Alto Networks se encuentra en una posición única para proteger contra Heartbleed a través del diseño de la próxima generación de nuestras plataformas de seguridad empresariales, y las protecciones automatizadas que publicamos, lo que impide la explotación de esta vulnerabilidad para nuestros clientes”, explica Raj Shah, Director Senior de Ciberseguridad en Palo Alto Networks.
El bug Heartbleed se asocia con una vulnerabilidad crítica en OpenSSL que fue divulgada recientemente y que afecta a los servidores que ejecutan OpenSSL 1.0.1 a través de 1.0.1f. En este sentido se estima que “más del 17% de los servidores web SSL utilizan certificados emitidos por entidades de certificación de confianza”. Puestos en lo peor, la vulnerabilidad puede llevar a un compromiso de casi la totalidad del contenido de cualquier servidor que ejecute las versiones afectadas de aplicación habilitadas para OpenSSL, incluidos los servicios internos.