Δευτέρα, 1 Ιουνίου, 21:19
Αρχική security Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Περισσότερες από 11 εκατομμύρια HTTPS ιστοσελίδες κινδυνεύουν από νέα Drown επίθεση

Μετά τη θανάσιμη ευπάθεια Heartbleed που συγκλόνισε τον κόσμο το περασμένο έτος, μια άλλη κρίσιμη ευπάθεια ψάχνει τρόπους για να δημιουργήσει παρόμοιες ανησυχίες. Ένα πρόσφατα ανακαλυφθέν κενό ασφαλείας OpenSSL ενεργοποιεί ένα απαρχαιωμένο πρωτόκολλο ασφαλείας, Secure Sockets Layer (SSLv2), για να χρησιμοποιηθεί σε επιθέσεις σύγχρονων ιστοσελίδων.

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Οι αναγνώστες θα πρέπει να κατανοήσουν τη σοβαρότητα αυτής ευπάθειας, καθώς όλες σχεδόν οι τράπεζες, τα χρηματοπιστωτικά ιδρύματα και άλλες ιστοσελίδες που συλλέγουν προσωπικά αναγνωρίσιμες πληροφορίες (PII) χρησιμοποιούν HTTPS για ασφαλή επικοινωνία μεταξύ του χρήστη και του web διακομιστή.

Η επίθεση που εκμεταλλεύεται αυτή την ευπάθεια, που ονομάζεται DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), εκτιμάται ότι θα είναι σε θέση να σκοτώσει τουλάχιστον το ένα τρίτο του συνόλου των HTTPS servers. Οι ερευνητές που ανακάλυψαν το ελάττωμα δήλωσαν ότι τουλάχιστον 11,5 εκατομμύρια ιστοσελίδες που χρησιμοποιούν το HTTPS πρωτόκολλο μπορεί να είναι σε κίνδυνο από την επίθεση Drown.

Η Drown επίθεση αποκαλύφθηκε από ακαδημαϊκούς ερευνητές από το Τμήμα Ηλεκτρολόγων Μηχανικών, Tel Aviv University, Münster University of Applied Sciences, Horst Görtz Institute for IT security, Ruhr University Bochum, University of Pennsylvania, Hashcat Project, University of Michigan, Two Sigma/OpenSSL, Google/OpenSSL.

Οι ερευνητές δήλωσαν: «Είμαστε ήδη σε θέση να εκτελέσουμε την επίθεση εναντίον OpenSSL εκδόσεων που είναι ευάλωτες στην CVE-2016-0703 σε λιγότερο από ένα λεπτό, χρησιμοποιώντας έναν μόνο υπολογιστή. Ακόμη και για διακομιστές που δεν έχουν αυτά τα συγκεκριμένα bugs, ο γενικός δείκτης της επίθεσης, η οποία λειτουργεί εναντίον οποιουδήποτε διακομιστή SSLv2, μπορεί να διεξαχθεί σε λιγότερο από 8 ώρες, με συνολικό κόστος $440.»

Όσο για σήμερα, μερικές από τις κορυφαίες ιστοσελίδες που αναφέρονται στο Alexa είναι ευάλωτες σε man-in-the-middle επιθέσεις με βάση την Drown, συμπεριλαμβανομένων των Yahoo, Sina και Alibaba. Ακόμη και η πρώτη κρατική τράπεζα, Bank of India, της Ινδίας, είναι ευάλωτη στην CVE-2016-0703 (MITM επίθεση), η οποία επιτρέπει σε δυνητικούς χάκερ να αποκρυπτογραφήσουν την ηχογραφημένη κυκλοφορία και να κλέψουν δεδομένα.DROWN-attack

Οι ερευνητές είπαν ότι οι παρωχημένες Microsoft Internet Information Services (IIS) εκδόσεις 7 και πιο πριν είναι ευάλωτες και οι εκδόσεις των Υπηρεσιών Δικτύου Ασφάλειας (NSS), μια κοινή κρυπτογραφική βιβλιοθήκη ενσωματωμένη σε πολλά προϊόντα διακομιστή, πριν από την 3.13 έκδοση του 2012, είναι επίσης ανοικτές στην επίθεση.

Μπορείτε να μάθετε αν το site σας είναι ευάλωτο χρησιμοποιώντας το DROWN attack test site.

Σε κάθε περίπτωση, αν χρησιμοποιείτε το OpenSSL για ασφάλεια, τώρα ήρθε η ώρα να κάνετε αναβάθμιση στο 1.0.2g. Οι OpenSSL 1.0.1 χρήστες θα πρέπει, επίσης, να αναβαθμίσουν στην 1.0.1s έκδοση.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Προγράμματα περιήγησης συνεχίζουν να επιτρέπουν drive-by-downloads!

Εν έτει 2020 πολλά προγράμματα περιήγησης εξακολουθούν να επιτρέπουν drive-by-downloads από ασφαλή περιβάλλοντα, όπως τα iframes με sandbox. Για όσους δεν γνωρίζουν...

Νοσοκομείο στο Τόκιο χρησιμοποιεί VR για εγχειρήσεις σε live streaming

Ένα νοσοκομείο στην Ιαπωνία έχει στραφεί σε εικονική πραγματικότητα (VR) και βελτιωμένη τεχνολογία κάμερας ως πιθανή λύση στις προκλήσεις της έρευνας και...

Linux Lite 5.0 ‘Emerald’: Ένα εντελώς νέο λειτουργικό σύστημα

Πρόσφατα, ο Jerry Bezencon, δημιουργός του Linux Lite, ανακοίνωσε την κυκλοφορία της νέας έκδοσης 5.0. Η έκδοση...

Zoom update: Δεν έχετε πρόσβαση αν δεν κάνετε αναβάθμιση!

Zoom update: Δεν έχετε πρόσβαση αν δεν κάνετε αναβάθμιση: Χωρίς την τελευταία ενημέρωση Zoom, οι χρήστες δε θα έχουν πρόσβαση στην εφαρμογή...

COVID-19: Bots πίσω από τις μισές Twitter εκκλήσεις για να “ξανανοίξει” η Αμερική

Σύμφωνα με πρόσφατη έρευνα του Carnegie Mellon University, το τελευταίο διάστημα, κακόβουλοι ηθοποιοί δημιουργούν bots με στόχο να προκαλέσουν ψευδείς ενυπώσεις αλλά...

Κορωνοϊός: Απαγορεύεται το σεξ αν δεν μένετε στο ίδιο σπίτι

Μην ταράζεστε! Η είδηση αφορά την Αγγλία...Οι νέες κατευθυντήριες γραμμές στην Αγγλία για τον κορωνοϊό έχουν καταστήσει παράνομο να κάνετε σεξ στο σπίτι...

Το Office 365 παρέχει λεπτομερείς πληροφορίες σχετικά με κακόβουλα συνημμένα email

Η Microsoft θα παρέχει στους χρήστες του Office 365 Advanced Threat Protection (ATP) περισσότερες λεπτομέρειες σχετικά με δείγματα malware και κακόβουλες διευθύνσεις...

Πώς μπορείτε να συγχωνεύσετε αρχεία PDF σε διάφορες συσκευές;

Η φορητή μορφή εγγράφου ή αλλιώς PDF, είναι μια από τις μορφές αρχείων που χρησιμοποιούνται πιο συχνά από μεγάλο αριθμό χρηστών για...

Ο Tim Cook καταδικάζει τη δολοφονία του George Floyd

Ο Tim Cook καταδικάζει τη δολοφονία του George Floyd: Ο Διευθύνων Σύμβουλος της Apple, Tim Cook, σε σημείωμα που έστειλε την Κυριακή...

anti-5G USB, μάλλον, αποδείχθηκε μούφα

Οι θεωρίες συνομωσίας πάνε και έρχονται το τελευταίο διάστημα, ειδικά μετά την αναγνώριση του Covid-19 ως πανδημία. Πολλοί έσπευσαν να πουν την...