Alrededor de 200 mil servidores y dispositivos siguen siendo vulnerables a Heartbleed, una vulnerabilidad de OpenSSL solucionada hace casi tres años. Estos datos son proporcionados por el motor de búsqueda Shodan, el cual reveló que los servidores estadounidenses alojados en Amazon AWS son desproporcionadamente vulnerables a la falla.

"Hay mucho de qué preocuparse con estos datos, pero también muchos que no sorprenden", expresó Tim Jarrett, director senior de seguridad de Veracode.

El análisis de Shodan publicado es parte del informe de Heartbleed (2017-01), el cual muestra un panorama sombrío respecto a la mitigación de Heartbleed. El reporte indica que casi 52 mil servidores basados en Apache HTTPD siguen siendo vulnerables, en especial las versiones 2.2.22 y 2.2.15. Amazon Web Services alberga el mayor número de dispositivos vulnerables (6,380), seguido por Verizon Wireless (4,330) y el ISP alemán Cronon AG (2,290).

"El primer esfuerzo en remediar Heartbleed ayudó a proteger cientos de miles de dispositivos (de 600 mil a 200 mil), pero el seguimiento posterior ha sido mediocre, ya que el problema se mantiene", dijo John Matherly, fundador de Shodan. Señala que la gran mayoría de los servicios afectados realmente soportan TLSv1.2. "Esto significa que admiten una buena codificación, desafortunadamente sus dependencias son viejas", agregó.

Heartbleed fue una vulnerabilidad en todo Internet que en 2014 afectó a millones de servidores Linux, UNIX y Apple que ejecutaban versiones vulnerables de OpenSSL. La vulnerabilidad Heartbleed consiste en mostrar el contenido de 64 KB de memoria a cualquier cliente o servidor conectado. En abril de 2014, las correcciones para las versiones de OpenSSL fueron rápidamente publicadas.

"La mayoría de los servicios con la vulnerabilidad de Heartbleed se informan en los EE.UU. Esto tiene sentido dado el predominio de aplicaciones web alojadas en Amazon AWS y Verizon, así como otros ISP con sede en EE.UU.", explicó Jarrett.

Dijo que parte del problema es la facilidad de crear nuevos servidores en AWS que no imponen el mismo tipo de disposiciones de seguridad requeridas.

"Lo que solía requerir un administrador de sistemas y un gasto de capital ahora se puede hacer con unas pocas líneas de código. Y sabemos que los servidores reales y virtuales son fáciles de olvidar, sobre todo cuando se crean fuera de los procesos normales de TI. Por lo tanto, no sorprende que algunos de estos "servidores olvidados" no sean actualizados y a su vez peligrosos", mencionó Jarrett.

Los datos de Shodan muestran que los servicios afectados en HTTPS (puerto 443) con 148,420 servidores vulnerables seguidos de HTTPS (puerto 8443) con 23,600 servidores y finalmente Webmin, la interfaz de administración para Unix (5,970).