Dne 1. března 2016 bezpečnostní výzkumníci oznámili nové zneužití zranitelnosti zahrnující starý bezpečnostní protokol SSLv2, který postihuje až 33 % webových serverů. Dokonce i webové servery, které neumožňují připojení SSLv2, mohou být zranitelné, pokud je soukromý klíč RSA použitý na serveru znovu použit na jiných serverech. A jak se zdá být de rigueur pro hlavní zranitelnosti v dnešní době přichází s jednoduchým a zlověstným názvem:DROWN (který je jistě mnohem snazší zapamatovat si a odkazovat na něj než jeho oficiální označení CVE-2016-0800).
.
Jak DROWN funguje
DROWN (D šifrování R SA pomocí O bsolete a W eaked eN šifrování) vyžaduje, aby měl útočník pouze přístup nebo schopnost snímat síťový provoz a schopnost dotazovat se na zranitelný server.
Příklad scénáře by zahrnoval útočníka v pozici Man in the Middle (MitM) a mohl by vidět, jak klient iniciuje TLS připojení k webovému serveru za účelem vytvoření zabezpečené relace HTTPS. Útočník zkopíruje tuto šifrovanou relaci, včetně vyjednávání o šifrování, které ji spouští. Útočník poté provede počáteční vyjednávání klíče a spustí variantu starého útoku na připojení SSLv2 známou jako útok Bleichenbacher (nebo útok milionu zpráv) na jiném serveru, který je ochoten použít SSLv2 a který používá stejný soukromý klíč RSA jako původní server. Vzhledem ke způsobu, jakým SSLv2 zpracovává generování klíčů relace, by tento útok mohl umožnit útočníkovi využít slabiny SSLv2 (které je již téměř 20 let považováno za zastaralé a nezabezpečené) k získání klíčů vyjednaných přes bezpečnější připojení TLS.
Výzkumníci byli schopni „dešifrovat TLS 1.2 handshake pomocí 2048bitového RSA za méně než 8 hodin pomocí Amazon EC2, za cenu 440 dolarů“. Využitím nedávno opravené (v březnu 2015) zranitelnosti v OpenSSL duplikovali podobné výsledky „za jednu minutu na jediném CPU“.
.
Jsem ovlivněn?
Výzkumníci, kteří toto zneužívání objevili, mají online nástroj, který vám může dát vědět, zda je vaše doména nebo IP zranitelná. Tento nástroj představuje pozitivní výsledky získané ze skenů provedených v únoru 2016, takže nepředstavuje data v reálném čase. Pokud jste nedávno aktualizovali svou verzi OpenSSL nebo nedávno provedli změny, které by mohly vyřešit zranitelnost DROWN, můžete použít nástroj pro skenování, který vytvořili, aby vám pomohl ověřit vaši expozici.
.
Zmírnění expozice DROWN
Vzhledem k tomu, že primárním vektorem tohoto útoku je SSLv2, je prvním krokem odstranění tohoto protokolu jako možnosti během jakéhokoli vyjednávání o zabezpečeném připojení. Konkrétní konfigurační nastavení, která deaktivují SSLv2 (a SSLv3, v tomto případě), si prostudujte v dokumentaci k vašim aplikacím, které používají SSL/TLS. Dotčené aplikace mohou zahrnovat webové servery (Apache, Nginx atd.), poštovní servery (např. Postfix) a jakékoli služby orientované na připojení, zejména cokoli, co používá knihovnu OpenSSL.
Uživatelé OpenSSL by navíc měli upgradovat své OpenSSL na verzi 1.0.2g nebo 1.0.1s v závislosti na tom, zda používáte verzi 1.0.2 nebo 1.0.1. Některé dřívější verze OpenSSL mohou stále umožňovat zneužití tohoto útoku pomocí slabých exportních šifer, i když jsou výslovně zakázány, takže pokud je to možné, je nejlepší volbou upgrade – tyto verze také obsahují záplaty, které řeší další zranitelnosti nesouvisející s DROWN.
A konečně spolehlivější opravou by bylo použití jedinečného soukromého klíče na každém serveru, který potřebuje spouštět TLS. U určitých certifikátů, zejména certifikátů OV a EV, tato možnost znamená dodatečné náklady a může být vhodná pro všechna nasazení nebo situace.
.
.