Πέμπτη, 21 Ιανουαρίου, 20:02
Αρχική security Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Περισσότερες από 11 εκατομμύρια HTTPS ιστοσελίδες κινδυνεύουν από νέα Drown επίθεση

Μετά τη θανάσιμη ευπάθεια Heartbleed που συγκλόνισε τον κόσμο το περασμένο έτος, μια άλλη κρίσιμη ευπάθεια ψάχνει τρόπους για να δημιουργήσει παρόμοιες ανησυχίες. Ένα πρόσφατα ανακαλυφθέν κενό ασφαλείας OpenSSL ενεργοποιεί ένα απαρχαιωμένο πρωτόκολλο ασφαλείας, Secure Sockets Layer (SSLv2), για να χρησιμοποιηθεί σε επιθέσεις σύγχρονων ιστοσελίδων.

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Οι αναγνώστες θα πρέπει να κατανοήσουν τη σοβαρότητα αυτής ευπάθειας, καθώς όλες σχεδόν οι τράπεζες, τα χρηματοπιστωτικά ιδρύματα και άλλες ιστοσελίδες που συλλέγουν προσωπικά αναγνωρίσιμες πληροφορίες (PII) χρησιμοποιούν HTTPS για ασφαλή επικοινωνία μεταξύ του χρήστη και του web διακομιστή.

Η επίθεση που εκμεταλλεύεται αυτή την ευπάθεια, που ονομάζεται DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), εκτιμάται ότι θα είναι σε θέση να σκοτώσει τουλάχιστον το ένα τρίτο του συνόλου των HTTPS servers. Οι ερευνητές που ανακάλυψαν το ελάττωμα δήλωσαν ότι τουλάχιστον 11,5 εκατομμύρια ιστοσελίδες που χρησιμοποιούν το HTTPS πρωτόκολλο μπορεί να είναι σε κίνδυνο από την επίθεση Drown.

Η Drown επίθεση αποκαλύφθηκε από ακαδημαϊκούς ερευνητές από το Τμήμα Ηλεκτρολόγων Μηχανικών, Tel Aviv University, Münster University of Applied Sciences, Horst Görtz Institute for IT security, Ruhr University Bochum, University of Pennsylvania, Hashcat Project, University of Michigan, Two Sigma/OpenSSL, Google/OpenSSL.

Οι ερευνητές δήλωσαν: «Είμαστε ήδη σε θέση να εκτελέσουμε την επίθεση εναντίον OpenSSL εκδόσεων που είναι ευάλωτες στην CVE-2016-0703 σε λιγότερο από ένα λεπτό, χρησιμοποιώντας έναν μόνο υπολογιστή. Ακόμη και για διακομιστές που δεν έχουν αυτά τα συγκεκριμένα bugs, ο γενικός δείκτης της επίθεσης, η οποία λειτουργεί εναντίον οποιουδήποτε διακομιστή SSLv2, μπορεί να διεξαχθεί σε λιγότερο από 8 ώρες, με συνολικό κόστος $440.»

Όσο για σήμερα, μερικές από τις κορυφαίες ιστοσελίδες που αναφέρονται στο Alexa είναι ευάλωτες σε man-in-the-middle επιθέσεις με βάση την Drown, συμπεριλαμβανομένων των Yahoo, Sina και Alibaba. Ακόμη και η πρώτη κρατική τράπεζα, Bank of India, της Ινδίας, είναι ευάλωτη στην CVE-2016-0703 (MITM επίθεση), η οποία επιτρέπει σε δυνητικούς χάκερ να αποκρυπτογραφήσουν την ηχογραφημένη κυκλοφορία και να κλέψουν δεδομένα.DROWN-attack

Οι ερευνητές είπαν ότι οι παρωχημένες Microsoft Internet Information Services (IIS) εκδόσεις 7 και πιο πριν είναι ευάλωτες και οι εκδόσεις των Υπηρεσιών Δικτύου Ασφάλειας (NSS), μια κοινή κρυπτογραφική βιβλιοθήκη ενσωματωμένη σε πολλά προϊόντα διακομιστή, πριν από την 3.13 έκδοση του 2012, είναι επίσης ανοικτές στην επίθεση.

Μπορείτε να μάθετε αν το site σας είναι ευάλωτο χρησιμοποιώντας το DROWN attack test site.

Σε κάθε περίπτωση, αν χρησιμοποιείτε το OpenSSL για ασφάλεια, τώρα ήρθε η ώρα να κάνετε αναβάθμιση στο 1.0.2g. Οι OpenSSL 1.0.1 χρήστες θα πρέπει, επίσης, να αναβαθμίσουν στην 1.0.1s έκδοση.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...