Unos hackers afirman haber descubierto una nueva vulnerabilidad en OpenSSL similar a Heartbleed

Escrito por Jorge Calderón
Virus
0

Un grupo de hackers afirma haber identificado una nueva vulnerabilidad en la versión más reciente de OpenSSL. El agujero de seguridad sería similar a Heartbleed, el error descubierto hace menos de un mes en la versión 1.0.1g en la conocida librería de cifrado, aunque algunos expertos en seguridad han cuestionado estas afirmaciones y podría tratarse de una estafa.

Tal y como podemos leer en RedesZone, un grupo de hackers afirma haber descubierto una nueva vulnerabilidad en la última versión de OpenSSL similar a Heartbleed, la vulnerabilidad descubierta hace menos de un mes. Para refrescar la memoria, recordamos que este error de la famosa librería de cifrado OpenSSL comprometía la seguridad de los servidores que la utilizaban permitiendo, a aquellos que quisieran realizar un ataque, robar datos importantes como contraseñas que se almacenaban en la memoria del servidor. Aunque, poco tiempo después los responsables de la librería lanzaron un parche para solucionarlo, la vulnerabilidad afectó a muchas páginas web debido a que era tarea de los poseedores de los servidores el aplicar dicho parche.

Hackers-Claim-to-Have-Found-New-OpenSSL-Flaw-Similar-to-Heartbleed-439556-2

Podría tratarse de una estafa

El grupo de hackers que afirma haber descubierto esta nueva vulnerabilidad tiene la intención de lucrarse y ha lanzado una campaña para vender su información. En Pastebin han publicado parte de la información sobre el error y han anunciado la venta. También han utilizado algunos foros chinos para llevar a cabo su campaña, aunque de momento nadie está convencido de que esto sea real. Una razón de peso para saber si esta campaña es una estafa o no es la variable “DOPENSSL_NO_HEARTBEATS”. Los hackers afirman haber encontrado la vulnerabilidad en esta variable, pero los desarrolladores detrás de OpenSSL aseguran que esta variable no existe o que la D inicial no pertenece a dicha variable. También varios usuarios chinos aseguran que la variable no existe, por lo que esta supuesta vulnerabilidad podría ser falsa y tratarse de una estafa.

Expertos dudan de la veracidad de las afirmaciones

Algunos expertos en seguridad han analizado esta situación y dudan de la veracidad de las afirmaciones del grupo de hackers, pero este hecho no se puede obviar del todo y será investigado para determinar con seguridad si es verdadero o falso. Los piratas quieren vender toda la información por 2,5 Bitcoin o 100 Litecoin o al mejor postor, por lo que de ser una vulnerabilidad real, podría caer en malas manos y la seguridad podría comprometerse de nuevo. Estaremos atentos a nuevas noticias sobre esta situación.

Fuente > ADSLZone