溺水袭击——超过1100万OpenSSL HTTPS网站面临风险
相关标签: # 研究# 攻击# 安全漏洞# 网络安全# 补丁
OpenSSL中高度关键的安全漏洞今天被披露为一种低成本攻击,可以解密敏感、安全的HTTPS通信,包括密码和信用卡详细信息来自各大学和信息安全社区的一个由15名安全研究人员组成的团队周二警告说,在几个小时内,或者在某些情况下,几乎是立即就可以做到这一点。
以下是安全研究人员所说的:
“我们能够在一分钟内使用一台PC对易受CVE-2016-0703攻击的OpenSSL版本执行攻击。即使对于没有这些特定漏洞的服务器,攻击任何SSLv2服务器的一般变体也可以在8小时内进行,总成本为440美元。”
什么是溺水袭击?它如何滥用SSLv2攻击TLS?
溺水代表“用过时和弱化的加密解密RSA”
溺水是一种跨协议攻击,它利用SSLv2实现中针对传输层安全性(TLS)的弱点,可以解密从最新客户端被动收集的TLS会话."
虽然最新版本在默认情况下不允许SSLv2连接,但管理员有时会无意中覆盖这些设置,以尝试优化应用程序。
安全研究人员指出:“如果你的站点的证书或密钥在支持SSLv2的服务器上的任何其他地方使用,你也会面临同样的风险。”。常见的例子包括SMTP、IMAP和POP邮件服务器,以及用于特定web应用程序的辅助HTTPS服务器
溺水攻击可使攻击者通过向服务器发送精心编制的恶意数据包或在另一台服务器上共享证书来解密HTTPS连接,从而可能执行成功的中间人(MitM)攻击。
OpenSSL溺水攻击有多致命?
尽管这一关键漏洞影响了全球多达1150万台服务器,但Alexa的一些顶级网站,包括雅虎、阿里巴巴、微博、新浪、BuzzFeed、Flickr、StumbleUpon、4Shared和三星,都容易受到基于溺水的MitM攻击。
除了开源的OpenSSL,微软的Internet信息服务(IIS)版本7和更早版本,以及许多服务器产品中内置的网络安全服务(NSS)加密库的3.13版本之前的版本,也会受到淹没攻击。
如何测试淹没OpenSSL漏洞?
你可以使用溺水攻击测试网站来发现你的网站是否容易受到这个关键安全漏洞的攻击。
然而,好消息是,学术研究人员发现了溺水安全漏洞,并在今天的OpenSSL更新中提供了该漏洞的补丁。
坏消息是,溺水攻击可以在不到一分钟的时间内进行攻击,现在漏洞已经被披露,黑客可能会主动利用它攻击服务器。
以下是如何保护自己:
强烈建议OpenSSL 1.0.2用户升级到OpenSSL 1.0.2g,建议OpenSSL 1.0.1用户升级到OpenSSL 1.0.1s。如果您正在使用另一个版本的OpenSSL进行安全保护,那么应该升级到更新的版本1.0.2g或1.0.1s。
为了保护自己免受溺水攻击,您应该确保SSLv2已禁用,并且确保私钥不会在任何其他服务器之间共享。
那些已经容易遭受溺水袭击的人不需要重新颁发证书,但建议他们立即采取行动以防止袭击。
SSLv2可以追溯到20世纪90年代,在安装新服务器时会意外或自动启用,这使得溺水攻击有效。这是因为在2000年之前,作为美国政府出口法规的一部分,所有版本的SSL和TLS都添加了弱密码支持。
事实上,”保护“服务器也可能被黑客攻击,因为它们与易受攻击的服务器位于同一网络上。通过使用Bleichenbacher攻击,可以解密RSA私钥,从而解锁使用相同私钥的“安全”服务器。
你可以在溺水攻击网站上找到更多技术细节和最易受攻击网站的列表。
此外,约翰·霍普金斯大学教授、著名密码学家马修·格林(Matthew Green)也发表了一篇博客文章,解释溺水是如何工作的。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
