被確定為低成本攻擊，DROWN 允許黑客在數(shù)小時內(nèi)解密瀏覽器-服務(wù)器通信以攻擊服務(wù)器或/和用戶。令人震驚的是，這個新發(fā)現(xiàn)的漏洞甚至可以在 TLS 服務(wù)器上運行，并影響 yahoo.com、alibaba.com、buzzfeed.com、flickr.com 和 cnbc.com 等等。DROWN 漏洞和受影響的網(wǎng)站列表于 2016 年 3 月 1 日公開披露，仍有許多網(wǎng)站未能保護其主域和子域。3 月 1 日，大約有 1100 萬個電子郵件服務(wù)器和網(wǎng)站易受此攻擊。

到底什么是溺水？

使用過時和弱化的 N加密( DROWN )解密R SA是在 OpenSSL 中發(fā)現(xiàn)的一個漏洞，它允許攻擊者解密安全的 HTTPS 瀏覽器與服務(wù)器的通信。來自明斯特應(yīng)用科學(xué)大學(xué)、電氣工程系、Horst G?rtz IT 安全研究所、特拉維夫大學(xué)、波鴻魯爾大學(xué)、Hashcat 項目、賓夕法尼亞大學(xué)、密歇根大學(xué) Google/OpenSSL 和兩個 Sigma/OpenSSL 的研究人員發(fā)現(xiàn)了該漏洞.

值得注意的是，DROWN 攻擊的目標是 SSLv2，這是一種舊的且已棄用的加密協(xié)議。SSL v2 即使在 90 年代也有嚴重不安全的名聲，很快就被丟棄以保護用戶到服務(wù)器的通信。盡管大多數(shù)現(xiàn)代 Web 服務(wù)器和網(wǎng)站不使用 TLS 加密協(xié)議，但由于默認設(shè)置和錯誤配置，許多服務(wù)器仍然可以支持 SSLv2。

什么是利用風險？

將用戶劫持到瀏覽器通信意味著攻擊者可以獲取正在發(fā)送的任何內(nèi)容。這包括文檔、即時消息、電子郵件、信用卡號、密碼、用戶名和其他敏感信息。但是，利用風險不僅限于竊取敏感信息。攻擊者可以使用它來訪問網(wǎng)站服務(wù)器或冒充安全網(wǎng)站或向用戶發(fā)送消息。

您是否容易受到 DROWN 攻擊？

如果您的服務(wù)器允許 SSLv2 連接并且不受 Web 應(yīng)用程序防火墻的保護，那么它很容易受到 DROWN 攻擊。雖然管理員肯定會放棄對 SSLv2 的支持，但他們可能不知道默認設(shè)置問題和其他錯誤配置。

請注意，即使您在任何其他可能支持 SSLv2 的服務(wù)器上允許使用私鑰，黑客也可以利用 DROWN。這對于電子郵件服務(wù)提供商來說非常重要，他們經(jīng)常在他們的電子郵件和 Web 服務(wù)器上使用相同的證書。AppTrana還將標記易受 DROWN 攻擊的服務(wù)器。

如何防止 DROWN 攻擊？

理想情況下，服務(wù)器操作員和管理員應(yīng)該尋找允許 SSLv2 支持的錯誤配置并立即終止它。但是，這是一個復(fù)雜的過程，可能需要幾天時間才能找到配置和默認設(shè)置錯誤。OpenSSL 建議升級到最新的 OpenSSL 版本。正如我們告知客戶的那樣，AppTrana Web 應(yīng)用程序防火墻 (WAF) 服務(wù)不受影響，因為我們的 WAF 解決方案未啟用 SSLv2。中間的人無法訪問您的 RSA 密鑰。