CCN-CERT - CCN-CERT AL 01/11 Alerta Vulnerabilidad de RSA SecurID

CCN-CERT AL 01/11 Alerta Vulnerabilidad de RSA SecurID

Publicado: 09 Mayo 2011


Vulnerabilidad de RSA SecurID El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa de una grave vulnerabilidad en los token de seguridad RSA SecurID. Dicha vulnerabilidad ha llevado a RSA, división de seguridad de EMC, a reemplazar millones de dispositivos SecurID potencialmente comprometidos. Según el comunicado oficial de la citada empresa, el pasado 17 de marzo se detectó un sofisticado ciberataque en sus sistemas, cuyo principal objetivo fue el robo de información. Unos datos que, según reconoció la propia compañía, fueron utilizados en el ataque contra Lockheed Martin, proveedor de armas y sector TIC estadounidense. Los dispositivos token RSA SecurID se emplean en los sistemas de autenticación de doble factor. Cada cuenta de usuario está vinculada a un token, y cada uno de ellos genera un número pseudo-aleatorio que cambia periódicamente, normalmente cada 30 o 60 segundos. Para realizar la autenticación se introduce el nombre de usuario, la contraseña y el número que aparece en el token. La secuencia exacta de números que genera un token está determinada por un algoritmo desarrollado por RSA, y un valor denominado semilla de cifrado vinculado a cada cuenta de usuario. Los responsables del ataque a RSA del pasado 17 de marzo sustrajeron precisamente estos datos. Por ello se recomienda mantenerse alerta y extremar la precaución, ya que debido a esta filtración, parámetros adicionales como el número de serie deben mantenerse protegidos y fuera del alcance de posibles atacantes. A continuación se exponen una serie de recomendaciones ante esta vulnerabilidad: Analizar el riesgo al que está expuesta la infraestructura de la organización y los activos que necesitan ser protegidos. En entornos de alto riesgo, se recomienda evaluar la posibilidad de desactivar el acceso remoto empleando la solución RSA SecurID. Sustituir los token vulnerables por los fabricados después de abril. Aumentar la concienciación del usuario final: pueden producirse ataques de ingeniería social a través de técnicas de phising para obtener información relacionada con los dispositivos de seguridad (número de serie y PIN). Asegurarse que los usuarios de la organización no respondan a este tipo de ataques. Clasificar los documentos que contengan cualquier combinación de números de serie de los token SecurID, identificación de usuario y semillas criptográficas. Monitorizar la autenticación en los dispositivos periféricos y en la infraestructura RSA. Pautas de implementación de RSA: http://www.rsa.com/products/securid/faqs/11370_CUSTOMER_FAQ_0311.pdf http://www.rsa.com/node.aspx?id=3876 CCN-CERT recomienda, asimismo, supervisar los sistemas y estar atentos a cualquier actividad inusual. Siempre se debe combinar la contraseña de un solo uso con el número PIN, preferentemente con más de cuatro caracteres, cambiados con frecuencia. Algunas recomendaciones en cuanto a monitorización de registros: Detección de numerosos intentos de adivinar el PIN con la contraseña de un solo uso. Detección de numerosos fallos de autenticación desde direcciones IP dispersas geográficamente. Intentos de inicio de sesión sin éxito desde ubicaciones geográficas poco habituales.
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Para establecer contacto, por favor, diríjase a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Su misión es ser el centro de alerta y respuesta nacional que coopere y ayude a las administraciones públicas a responder, de forma rápida y eficiente, a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas. La finalidad principal del CCN-CERT es contribuir a la mejora del nivel de seguridad de los sistemas de información de la Administración Pública española. La comunidad a la que presta servicio está constituida por el conjunto de organismos de las distintas administraciones: general, autonómica y local. Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Fingerprint: 6C52 3A74 8B12 A519 FD5B 59A2 2F26 6D28 4FDD AEFE Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=113&lang=es Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Fingerprint: 97F5 932B A08E 52C5 DDD6 930C 881F 486A 8C2B 1735 Descarga: https://www.ccn-cert.cni.es/index.php?option=com_docman&task=doc_download&gid=114&lang=es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.
© 2011 Centro Criptológico Nacional - C/Argentona, 20 28023 MADRID	www.ccn-cert.cni.es

Miembros de