被确定为低成本攻击,DROWN 允许黑客在数小时内解密浏览器-服务器通信以攻击服务器或/和用户。令人震惊的是,这个新发现的漏洞甚至可以在 TLS 服务器上运行,并影响 yahoo.com、alibaba.com、buzzfeed.com、flickr.com 和 cnbc.com 等等。DROWN 漏洞和受影响的网站列表于 2016 年 3 月 1 日公开披露,仍有许多网站未能保护其主域和子域。3 月 1 日,大约有 1100 万个电子邮件服务器和网站易受此攻击。
到底什么是溺水?
使用过时和弱化的 N加密( DROWN )解密R SA是在 OpenSSL 中发现的一个漏洞,它允许攻击者解密安全的 HTTPS 浏览器与服务器的通信。来自明斯特应用科学大学、电气工程系、Horst Görtz IT 安全研究所、特拉维夫大学、波鸿鲁尔大学、Hashcat 项目、宾夕法尼亚大学、密歇根大学 Google/OpenSSL 和两个 Sigma/OpenSSL 的研究人员发现了该漏洞.
值得注意的是,DROWN 攻击的目标是 SSLv2,这是一种旧的且已弃用的加密协议。SSL v2 即使在 90 年代也有严重不安全的名声,很快就被丢弃以保护用户到服务器的通信。尽管大多数现代 Web 服务器和网站不使用 TLS 加密协议,但由于默认设置和错误配置,许多服务器仍然可以支持 SSLv2。
什么是利用风险?
将用户劫持到浏览器通信意味着攻击者可以获取正在发送的任何内容。这包括文档、即时消息、电子邮件、信用卡号、密码、用户名和其他敏感信息。但是,利用风险不仅限于窃取敏感信息。攻击者可以使用它来访问网站服务器或冒充安全网站或向用户发送消息。
您是否容易受到 DROWN 攻击?
如果您的服务器允许 SSLv2 连接并且不受 Web 应用程序防火墙的保护,那么它很容易受到 DROWN 攻击。虽然管理员肯定会放弃对 SSLv2 的支持,但他们可能不知道默认设置问题和其他错误配置。
请注意,即使您在任何其他可能支持 SSLv2 的服务器上允许使用私钥,黑客也可以利用 DROWN。这对于电子邮件服务提供商来说非常重要,他们经常在他们的电子邮件和 Web 服务器上使用相同的证书。AppTrana还将标记易受 DROWN 攻击的服务器。
如何防止 DROWN 攻击?
理想情况下,服务器操作员和管理员应该寻找允许 SSLv2 支持的错误配置并立即终止它。但是,这是一个复杂的过程,可能需要几天时间才能找到配置和默认设置错误。OpenSSL 建议升级到最新的 OpenSSL 版本。正如我们告知客户的那样,AppTrana Web 应用程序防火墙 (WAF) 服务不受影响,因为我们的 WAF 解决方案未启用 SSLv2。中间的人无法访问您的 RSA 密钥。