被確定為低成本攻擊,DROWN 允許黑客在數小時內解密瀏覽器-服務器通信以攻擊服務器或/和用戶。令人震驚的是,這個新發現的漏洞甚至可以在 TLS 服務器上運行,并影響 yahoo.com、alibaba.com、buzzfeed.com、flickr.com 和 cnbc.com 等等。DROWN 漏洞和受影響的網站列表于 2016 年 3 月 1 日公開披露,仍有許多網站未能保護其主域和子域。3 月 1 日,大約有 1100 萬個電子郵件服務器和網站易受此攻擊。
到底什么是溺水?
使用過時和弱化的 N加密( DROWN )解密R SA是在 OpenSSL 中發現的一個漏洞,它允許攻擊者解密安全的 HTTPS 瀏覽器與服務器的通信。來自明斯特應用科學大學、電氣工程系、Horst G?rtz IT 安全研究所、特拉維夫大學、波鴻魯爾大學、Hashcat 項目、賓夕法尼亞大學、密歇根大學 Google/OpenSSL 和兩個 Sigma/OpenSSL 的研究人員發現了該漏洞.
值得注意的是,DROWN 攻擊的目標是 SSLv2,這是一種舊的且已棄用的加密協議。SSL v2 即使在 90 年代也有嚴重不安全的名聲,很快就被丟棄以保護用戶到服務器的通信。盡管大多數現代 Web 服務器和網站不使用 TLS 加密協議,但由于默認設置和錯誤配置,許多服務器仍然可以支持 SSLv2。
什么是利用風險?
將用戶劫持到瀏覽器通信意味著攻擊者可以獲取正在發送的任何內容。這包括文檔、即時消息、電子郵件、信用卡號、密碼、用戶名和其他敏感信息。但是,利用風險不僅限于竊取敏感信息。攻擊者可以使用它來訪問網站服務器或冒充安全網站或向用戶發送消息。
您是否容易受到 DROWN 攻擊?
如果您的服務器允許 SSLv2 連接并且不受 Web 應用程序防火墻的保護,那么它很容易受到 DROWN 攻擊。雖然管理員肯定會放棄對 SSLv2 的支持,但他們可能不知道默認設置問題和其他錯誤配置。
請注意,即使您在任何其他可能支持 SSLv2 的服務器上允許使用私鑰,黑客也可以利用 DROWN。這對于電子郵件服務提供商來說非常重要,他們經常在他們的電子郵件和 Web 服務器上使用相同的證書。AppTrana還將標記易受 DROWN 攻擊的服務器。
如何防止 DROWN 攻擊?
理想情況下,服務器操作員和管理員應該尋找允許 SSLv2 支持的錯誤配置并立即終止它。但是,這是一個復雜的過程,可能需要幾天時間才能找到配置和默認設置錯誤。OpenSSL 建議升級到最新的 OpenSSL 版本。正如我們告知客戶的那樣,AppTrana Web 應用程序防火墻 (WAF) 服務不受影響,因為我們的 WAF 解決方案未啟用 SSLv2。中間的人無法訪問您的 RSA 密鑰。
