Protokolo SSLv2 spraga „DROWN“
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojingą protokolo „SSLv2“ spragą.
Spraga gavo žymą СVE-2016-0800, o ataka, išnaudojanti šią spragą, buvo pavadinta „DROWN“. Yra pažeidžiami maždaug 33 proc. visų interneto svetainių, pasiekiamų per HTTPS protokolą. Tarp milijono labiausiai lankomų svetainių pažeidžiama yra kas ketvirta. Pvz., pažeidžiami tokie žinomi portalai kaip yahoo.com, alibaba.com, flickr.com, delfi.ee.
Spraga leidžia piktavaliams vykdyti „man-in-the-middle“ tipo ataką. Bendru atveju ataka yra sudėtinga ir reikalauja maždaug kvadrilijono skaičiavimo operacijų. Tačiau piktavaliai gali įvykdyti ataką per kelias minutes, jei tarnybinėje stotyje naudojamos šios „OpenSSL“ versijos: 1.0.2a, 1.0.1m, 1.0.0r ir 0.9.8zf.
CERT-LT atkreipia dėmesį, kad:
1) Jau išleisti „OpenSSL“ bibliotekos atnaujinimai 1.0.1s 1.0.2g, kurie pašalina minėtą spragą.
2) Programinės įrangos paketai „LibreSSL“, „GnuTLS“ ir „NSS“ nėra paveikiami minėtos spragos, nes jie nepalaiko protokolo „SSLv2“.
CERT-LT rekomenduoja:
Esant pažeidžiamai svetainei, tarnybinėje stotyje išjungti protokolo „SSLv2“ palaikymą programose „Apache“, „Postfix“, „nginx“.
Daugiau informacijos:
1) https://n0where.net/awesome-windows-exploitation-resources/ (anglų kalba)
2) https://mta.openssl.org/pipermail/openssl-announce/2016-March/000066.html (anglų kalba)
3) Pažeidžiamų programų konfigūravimas (anglų kalba):
https://drownattack.com/apache.html
https://drownattack.com/postfix.html
https://drownattack.com/nginx.html