350万HTTPS服务器受到了DROWN漏洞的影响
350万HTTPS服务器受到了DROWN漏洞的影响
在本周二有指出由DROWN 漏洞所引起的攻击可能会暴露服务器技术cn.blu***的加密对话。
受到该漏洞影响的协议主要是互联网安全的基本密码协议。黑可以在数分钟内利用该漏洞解密安全的HTTPS通信,如密码或信用卡号码。
研究人员估计,超过三百五十万个HTTPS服务器受到了该漏洞的影响。任何使用互联网浏览网页,使用电子邮件,购物或发送即时消息的用户都可能成为受害者。 攻击者可以从网络连接中解密数据,允许第三方读取用户的通信信息。
Qualys工程总监Ivan Ristic说:“这并不是一次小规模的攻击,而且黑必须花费一定的成本才能获取具有重要价值的用户信息。”
给企业带来风险
他表示,DROWN漏洞攻击是1998年的Bleichenbacher攻击的扩展,而Bleichenbacher攻击可用于在填充提示的帮助下对密文进行解密。 每1000次完全TLS握手协议中就会中有一次协议被解密,从而危及整个TLS会话。
研究人员发现,有38%的HTTPS 服务器以及22%带有浏览器信任证书的服务器可能会受到此次协议级攻击的影响。他们认为大量秘钥和证书的重复使用是该事件发生的主要原因。
在Alexa统计出的百万网站中,有四分之一网站的TLS(安全传输层协议)可能会因为受到 SSLv2而遭到破坏。而据研究人员所示,客可以获取用户与服务器之间的任何通信。
阿维夫大学的工程师Nimrod Aviram表示,客可获取的信息包括用户名和密码,信用卡卡号,电子邮件,短信以及敏感文件。在一些常见的场景中,客还可以冒充一个安全的网站,拦截或篡改用户所看到的内容。
TokenEx的CEO Alex Pezold表示:“鉴于互联网上几乎所有的服务器都会受到此次攻击的影响,因此我认为此次攻击的危害十分严重。”
他指出,那些易受攻击的数据都是敏感数据,因而人们必须认真抵御该漏洞的威胁。企业应该对其网络环境进行测试,以便及时修复漏洞。
处理漏洞
Dyadic首席科学家Yehuda Lindell表示,虽然DROWN漏洞的危害性极大,但是服务器操作人员和系统管理员还是能够采取措施轻松抵御攻击,即禁用SSLv2 和SSL v3。
他认为:“通过配置服务器并取消其对SSLv2的支持,用户就能够有效防御DROWN漏洞的攻击。因此DROWN漏洞不像Heartbleed漏洞那样需要更新服务器软件,而是只需通过配置就可进行预防。”
Varonis战略和市场开发部总监Rob Sobers指出,对于此次攻击的正确处理方式就是禁用所有的SSLv2 ,这种方式操作起来可能具有一定的复杂性。此外,您还应该确保您的私人秘钥不会何使用 SSLv2的服务器共享。
他指出:“关于此种攻击需要注意的一点就是,如果您使用了SSLv2运行服务且忘记对其进行更新或禁用,外加上您使用的是共享RSA秘钥,那么其他使用TLS协议的新系统也会受到威胁。”
在本周二有指出由DROWN 漏洞所引起的攻击可能会暴露服务器技术cn.blu***的加密对话。
受到该漏洞影响的协议主要是互联网安全的基本密码协议。黑可以在数分钟内利用该漏洞解密安全的HTTPS通信,如密码或信用卡号码。
研究人员估计,超过三百五十万个HTTPS服务器受到了该漏洞的影响。任何使用互联网浏览网页,使用电子邮件,购物或发送即时消息的用户都可能成为受害者。 攻击者可以从网络连接中解密数据,允许第三方读取用户的通信信息。
Qualys工程总监Ivan Ristic说:“这并不是一次小规模的攻击,而且黑必须花费一定的成本才能获取具有重要价值的用户信息。”
给企业带来风险
他表示,DROWN漏洞攻击是1998年的Bleichenbacher攻击的扩展,而Bleichenbacher攻击可用于在填充提示的帮助下对密文进行解密。 每1000次完全TLS握手协议中就会中有一次协议被解密,从而危及整个TLS会话。
研究人员发现,有38%的HTTPS 服务器以及22%带有浏览器信任证书的服务器可能会受到此次协议级攻击的影响。他们认为大量秘钥和证书的重复使用是该事件发生的主要原因。
在Alexa统计出的百万网站中,有四分之一网站的TLS(安全传输层协议)可能会因为受到 SSLv2而遭到破坏。而据研究人员所示,客可以获取用户与服务器之间的任何通信。
阿维夫大学的工程师Nimrod Aviram表示,客可获取的信息包括用户名和密码,信用卡卡号,电子邮件,短信以及敏感文件。在一些常见的场景中,客还可以冒充一个安全的网站,拦截或篡改用户所看到的内容。
TokenEx的CEO Alex Pezold表示:“鉴于互联网上几乎所有的服务器都会受到此次攻击的影响,因此我认为此次攻击的危害十分严重。”
他指出,那些易受攻击的数据都是敏感数据,因而人们必须认真抵御该漏洞的威胁。企业应该对其网络环境进行测试,以便及时修复漏洞。
处理漏洞
Dyadic首席科学家Yehuda Lindell表示,虽然DROWN漏洞的危害性极大,但是服务器操作人员和系统管理员还是能够采取措施轻松抵御攻击,即禁用SSLv2 和SSL v3。
他认为:“通过配置服务器并取消其对SSLv2的支持,用户就能够有效防御DROWN漏洞的攻击。因此DROWN漏洞不像Heartbleed漏洞那样需要更新服务器软件,而是只需通过配置就可进行预防。”
Varonis战略和市场开发部总监Rob Sobers指出,对于此次攻击的正确处理方式就是禁用所有的SSLv2 ,这种方式操作起来可能具有一定的复杂性。此外,您还应该确保您的私人秘钥不会何使用 SSLv2的服务器共享。
他指出:“关于此种攻击需要注意的一点就是,如果您使用了SSLv2运行服务且忘记对其进行更新或禁用,外加上您使用的是共享RSA秘钥,那么其他使用TLS协议的新系统也会受到威胁。”