OPENSSL DROW sérülékenység

2016. március 1-én került publikálásra a sokak által használt OpenSSL újabb sérülékenysége, mely a CVE-2016-0800 számot kapta és Drown (Decrypting RSA with Obsolete and Weakened eNcryption) néven vált ismertté.

A Drown sérülékenység olyan man-in-the-middle támadást teszt lehetővé, aminek következtében a kommunikáció tárgya lehallgatható és akár el is téríthető. Kellően nagyszámú kézfogás adatait összegyűjtve (kb. 1000 elfogás) visszafejthető – az SSLv2-t támogató- a támadott szerver privát kulcsa. Amennyiben a privát kulcsot sikerül megszerezni, akkor minden egyéb olyan kommunikáció is visszafejthető, amely ezt a tanúsítványt használja.

Milyen adatokat tudnak a támadók megszerezni?

Bármilyen a felhasználók és a szerverek közötti kommunikáció során megszerzett adatokat. Ezek lehetnek a felhasználónevek és jelszavak, hitelkártya számok, e-mailek, azonnali üzenetek, és az érzékeny dokumentumok.

A támadás folyamatát a következő ábra szemlélteti:

1. ábra A Drown támadás folyamata. Forrás: http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html

A fejlesztők a sérülékenység javítására azt javasolják, hogy frissítsünk az 1.0.1s vagy az 1.0.2g verzióra. Ezen verzió telepítésével további olyan sérülékenységek is megszüntethetőek melyek jogosulatlan adathozzáférésre, adatlopásra, illetve szolgáltatásmegtagadási támadásokra adhatnak lehetőséget.

A fejlesztők az alábbi összetevők, funkciók kapcsán is egyúttal befoltoztak biztonsági réseket:

• SSLv2 and EXPORT (DROWN támadás)

• DSA kezelés

• SRP szerver

• BN_hex2bn/BN_dec2bn() függvény

• BIO_*printf() függvény

• Intel Sandy-Bridge architektúra támogatása

• SSLv2 (s2_srvr.c).

További javaslat az, hogy tiltsuk meg az SSLv2 használatát. Ahol nem feltétlenül indokolt, ott az SSLv3-t is tiltsuk le.

Néhány példa erre, hogyan kell beállítani:

• Apache esetén: SSLProtocol All -SSLv2 -SSLv3

• Nginx esetén: ssl_protocols TLSv1 TLSv1.1 TLSv1.2

Ezen eszköz segítségével ellenőrizni tudjuk, hogy a kiszolgálónk érintett-e a sérülékenységben: https://test.drownattack.com/

A sérülékenységről bővebben az alábbi helyeken lehet olvasni:

• https://drownattack.com

• https://drownattack.com/drown-attack-paper.pdf

• https://www.openssl.org/news/secadv/20160301.txt

• https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

• https://securityblog.redhat.com/2016/03/01/go-home-sslv2-youre-drowning/

• http://www.thegeekstuff.com/2016/03/drown-attack-test-and-fix/

• http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html