Атака DROWN поставила под угрозу треть всех сайтов, работающих с HTTPS

Атака DROWN поставила под угрозу треть всех сайтов, работающих с HTTPS

Проект OpenSSL представил обновленные версии 1.0.2g и 1.0.1s, в которых была устранена опасная уязвимость CVE-2016-0800. Данная брешь позволяет злоумышленнику провести межпротокольную атаку, которой исследователи дали имя DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).

Проблема актуальна для сайтов, работающих с протоколами SSLv2 и TLS, то есть ставит под угрозу около 33% всех сайтов и почтовых серверов интернета.

Проблему обнаружила и помогла устранить сводная команда из 15 человек, в которую вошли ученые из университетов Германии и США, а также специалисты в области информационной безопасности. На официальном сайте уязвимости представлен их подробный доклад.

Исследователи обнаружили в SSLv2 уязвимость, на базе которой сумели построить атаку, во многом копирующую Bleichenbacher-атаку на RSA, известную с 90-х годов. Смысл данной методики в том, что перед установкой зашифрованного соединения, клиент случайным образом выбирает ключ сессии, который зашифровывает RSA и отправляется серверу. Таким образом клиент проходит валидацию, и устанавливается защищенное HTTPS-соединение. Атака Bleichenbacher позволяет узнать оригинальный RSA-ключ, основываясь лишь на ответах сервера: простом «да/нет», которое сервер отвечает за запрос «это RSA-ключ сессии?». Эксперты сумели обойти защиту, добавленную в SSLv2, для предотвращения подобных атак и нашли новый способ реализации атаки Bleichenbacher, пишет xakep.ru.

«При обычном раскладе злоумышленнику понадобится отследить 1000 TLS-хендшейков, инициировать 40 0000 SSLv2-соединений, и совершить 2^50 оффлайновых операций для расшифровки 2048-битного шифротекста RSA TLS», — пишут исследователи.

Несмотря на такие числа, суперкомпьютер для реализации атаки не потребуется. В докладе сказано, что в среднем для расшифровки сессионного 2048-битного ключа RSA понадобится 8 часов работы облака Amazon EC2, что обойдется атакующему примерно в $440. Но есть и более дешевый и быстрый способ: если добавить в уравнение недавно обнаруженные в OpenSSL уязвимости CVE-2016-0703 и CVE-2015-3197, на расшифровку шифротекста TLS у обычного ПК уйдут считанные минуты. Этого вполне хватит для осуществления man-in-the-middle атаки на любой современный браузер.

 

 

Также исследователи отмечают, что под угрозой находятся не только ресурсы, использующие SSLv2 и TLS. Простого отключения SSLv2 можно оказаться недостаточно, если сайт использует сертификат или RSA ключ совместно с другим сервером: распространенные примеры, это почтовые серверы SMTP, IMAP и POP, а также вторичные HTTPS-серверы веб-приложений. Если отключив SSLv2 на сайте, администратор сайта забудет сменить RSA-ключи и позаботиться о смежных ресурсах, они будут по-прежнему уязвимы перед DROWN.

В докладе сказано, что в наши дни около 17% всех HTTPS-серверов в мире до сих пор разрешают SSLv2-соединения, хотя протокол SSLv2 давно устарел. Помимо них, из-за совместного использования ключей, еще 17% HTTPS-серверов оказываются под ударом, что суммарно дает 33% уязвимых серверов. Это приблизительно 11,5 млн сайтов, включая ресурсы Yahoo, Weibo, Alibaba, xHamster, DailyMotion, BuzzFeed, Flickr, StumbleUpon, 4Shared и так далее.

Всем настоятельно рекомендуется обновиться до OpenSSL 1.0.2g и 1.0.1s. Проверить свои ресурсы на уязвимость перед DROWN можно на официальном сайте атаки. Также, помимо официального доклада исследователей, можно почитатьстатью Мэтью Грина (Matthew Green) — известного криптографа и профессора университета Джона Хопкинса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила сервис поставки данных об угрозах — Solar TI Feeds

Группа компаний «Солар» объявила о запуске нового сервиса — Solar Threat Intelligence Feeds (Solar TI Feeds), который обеспечивает непрерывную поставку информации об актуальных киберугрозах. В основе сервиса лежит база знаний ПАО «Ростелеком», а также телеметрия сервисов и продуктов компании.

Сервис предназначен для крупных организаций, стремящихся к постоянному обогащению своих центров мониторинга безопасности (SOC) актуальной информацией о потенциальных инцидентах.

Это позволяет оперативно выявлять и предотвращать кибератаки, минимизируя риски для бизнеса. Solar TI Feeds уже успешно прошёл апробацию в рамках ряда пилотных проектов.

Solar TI Feeds помогает организациям своевременно обнаруживать и реагировать на инциденты информационной безопасности, что особенно важно для компаний, заинтересованных в бесперебойной работе бизнес-процессов и снижении как репутационных, так и финансовых потерь. Сервис особенно актуален для стратегически значимых отраслей экономики России — финансовой, нефтегазовой, государственной, промышленной, телекоммуникационной и ИТ-сферы — которые находятся под постоянным давлением со стороны злоумышленников с различной мотивацией.

Сервис включает более 20 типов фидов, содержащих индикаторы компрометации (IP-адреса, хеш-суммы), а также правила обнаружения атак. В состав потоков данных входят:

  • информация с телекоммуникационных сенсоров «Ростелекома»;
  • телеметрия сервисов Solar JSOC и решений центра технологий и кибербезопасности ГК «Солар»;
  • результаты автоматизированного анализа более 200 миллиардов событий, зафиксированных сенсорами;
  • правила обнаружения атак, выработанные по итогам свыше 200 расследований и постоянного мониторинга деятельности более 60 хакерских группировок экспертами центра Solar 4RAYS.

Передача фидов осуществляется круглосуточно через API или с помощью локального агента. Для максимального удобства сервис поддерживает интеграцию не только с платформами Threat Intelligence, но и с другими системами: SIEM, SOAR, NGFW, EDR, XDR и др. Все данные проходят ручную верификацию, что значительно снижает риск ложных срабатываний.

«Информационные подразделения крупных компаний сталкиваются с огромным количеством событий ИБ, которые невозможно обработать оперативно и в полном объёме. Это мешает эффективно реагировать на реальные угрозы. Solar TI Feeds помогает приоритизировать срабатывания средств защиты и экономить ресурсы при реагировании на инциденты. Экспертиза Solar 4RAYS в области киберразведки и расследования атак, данные JSOC и информация с сенсоров "Ростелекома" обеспечивают высокую релевантность фидов и позволяют использовать их в самых разных сценариях, вплоть до автоматической блокировки угроз», — прокомментировал Алексей Вишняков, технический директор центра исследования киберугроз Solar 4RAYS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru