В первый день марта исследователи обнародовали масштабную уязвимость в TLS, затрагивающую миллионы пользователей Интернета. Ее использование может привести к раскрытию паролей, данных кредитных карт и другой финансовой информации. Участники проекта OpenSSL и эксперты призывают организации пропатчить веб-серверы, защитив их от так называемых DROWN-атак, позволяющих расшифровать трафик и встать на позицию «человек посередине».

Данную уязвимость обнаружила интернациональная группа исследователей, которая нарекла ее Decrypting RSA with Obsolete and Weakened eNcryption («расшифровка RSA с устаревшим и ослабленным шифрованием»), сокращенно — DROWN. Атака типа DROWN, подобно Logjam и другим недавним атакам, использует слабость экспортных шифров SSLv2. Эксплойт позволяет произвести хендшейк по SSLv2 с целью расшифровки TLS-сессий, причем как текущих, так и зарегистрированных ранее.

«DROWN стала возможной из-за ряда непростительных ошибок, допущенных большим количеством людей; результат — TLS-подключения к удручающе огромному сегменту Сети (а также к почтовым серверам, VPN и т.д.) открыты для атак противника с весьма скромными возможностями», — сокрушается Мэтт Грин (Matt Green), преподаватель университета Джона Хопкинса.

Со слов Грина, DROWN является классическим примером «кросс-протокольной атаки». «Этот вид атак использует баги в реализации одного протокола (SSLv2) для нарушения безопасности соединений, установленных по другому протоколу, в данном случае TLS, — пишет исследователь в блоге. — Точнее говоря, DROWN основана на весьма важном наблюдении: и SSLv2, и TLS поддерживают RSA-шифрование, однако TLS адекватно защищает от некоторых хорошо известных атак на эту систему шифрования, а экспортные комплекты SSLv2 — решительно нет».

По оценке ИБ-экспертов, уязвимость DROWN актуальна для 33% HTTPS-серверов; используя ее, атакующие могут взломать шифрование в ходе соединения браузера с сервером и просматривать данные, передаваемые этими сторонами.

Проблему усугубляет наличие двух устаревших версий OpenSSL, все еще работающих на многих веб-серверах. В минувший вторник разработчики выпустили обновления, отключив SSLv2 по умолчанию и удалив комплект шифров EXPORT. Патчи включены в версии 1.0.2g и 1.0.1s тулкита Open Source для SSL/TLS.

К сожалению, некоторые заинтересованные вендоры склонны преуменьшать значение новой угрозы. «Как один из лидеров рынка open-source-решений защиты, Red Hat уже раздала прошедшие тестирование и сертификацию патчи для уязвимых продуктов и загрузила обновленные надежные образы в официальное хранилище», — поспешили заявить представители Red Hat.

«Эта уязвимость давно известна, она присутствовала в более ранних версиях протокола SSL, но тогда еще не была дополнена бэкдорами, появившимися в криптосистемах, ослабленных экспортным исполнением», — поясняет Стив Маркес (Steve Marquess) из OpenSSL. По его словам, в настоящее время правительство США не требует соблюдения ограничений по экспорту, однако многие серверы и клиенты до сих пор поддерживают слабые криптокоды.

Комбинация SSLv2 и криптокода экспортного класса создает благоприятные условия для взлома всех известных реализаций SSLv2. «Ни одну из этих реализаций нельзя использовать, но огромное количество сайтов до сих пор это делают», — признал Маркес в комментарии Threatpost.

Сами исследователи определяют DROWN как новую форму кросс-протокольной атаки Бляйхенбахера, которая эксплуатирует фундаментальную уязвимость в протоколе SSLv2, связанную с использованием экспортных шифров 20-летней давности. Эти ослабленные версии шифров предполагают использование 40-битных ключей RSA.

В настоящее время атаку DROWN можно провести с настольного компьютера. «В этом случае атакующему понадобится около 17 тыс. пробных соединений, чтобы получить ключ для одной из 260 TLS-сессий жертвы; это займет менее минуты на быстром ПК», — пишут исследователи. В худшем случае злоумышленнику придется потратить 8 часов на облачном сервисе Amazon (EC2), выложив $440.

Категории: Главное, Уязвимости