2016年3月1日、セキュリティ研究者は、Webサーバーの最大33%に影響を与える古いセキュリティプロトコルSSLv2を含む新しい脆弱性エクスプロイトを発表しました。サーバーで使用されているRSA秘密鍵が他のサーバーで再利用されている場合、SSLv2接続を許可しないWebサーバーでさえ脆弱になる可能性があります。そして、 de rigueur のように 最近の主要な脆弱性については、DROWNというシンプルで予感のある名前が付けられています(これは、CVE-2016-0800の正式な指定よりも覚えやすく参照しやすいことは確かです)。
。
DROWNの仕組み
DROWN( D Rの暗号化 Oを使用するSA bsoleteおよびW eakened e N cryption)を必要とするのは、攻撃者がネットワークトラフィックをスニッフィングするアクセスまたは機能と、脆弱なサーバーにクエリを実行する機能のみを持っていることです。
シナリオの例では、中間者(MitM)の位置にいる攻撃者が関与し、クライアントがWebサーバーへのTLS接続を開始して安全なHTTPSセッションを確立するのを見ることができます。攻撃者は、この暗号化されたセッションを、それを開始する暗号化ネゴシエーションを含めてコピーします。次に、攻撃者は最初のキーネゴシエーションを実行し、SSLv2を使用する意思があり、同じRSA秘密キーを使用する別のサーバーでBleichenbacher攻撃(またはミリオンメッセージ攻撃)と呼ばれるSSLv2接続に対する古い攻撃のバリアントを実行します。元のサーバー。 SSLv2がセッションキーの生成を処理する方法のため、この攻撃により、攻撃者はSSLv2の弱点(約20年間、時代遅れで安全でないと見なされてきました)を悪用して、より安全なTLS接続でネゴシエートされたキーを取得する可能性があります。
研究者は、「AmazonEC2を使用して8時間以内に2048ビットRSAを使用してTLS1.2ハンドシェイクを復号化することができました。コストは440ドルです」。 OpenSSLで最近パッチが適用された(2015年3月の)脆弱性を悪用することにより、「単一のCPUで1分で」同様の結果を複製しました。
。
影響を受けますか?
この悪用を発見した研究者は、ドメインまたはIPが脆弱かどうかを知らせることができるオンラインツールを持っています。このツールは、2016年2月に実行したスキャンから得られた肯定的な結果を提示するため、リアルタイムのデータを表すものではありません。 OpenSSLのバージョンを最近更新した場合、またはDROWNの脆弱性に対処する可能性のある変更を最近行った場合は、それらがまとめたスキャナーユーティリティを使用して、露出を確認できます。
。
溺水への暴露の軽減
SSLv2がこの攻撃の主要なベクトルであるため、安全な接続ネゴシエーション中にオプションとしてそのプロトコルを削除することが最初のステップです。 SSLv2(さらに言えばSSLv3)を無効にする特定の構成設定については、SSL/TLSを使用するアプリケーションのドキュメントを参照してください。影響を受けるアプリケーションには、Webサーバー(Apache、Nginxなど)、メールサーバー(Postfixなど)、および接続指向のサービス、特にOpenSSLライブラリを使用するものが含まれます。
さらに、OpenSSLユーザーは、バージョン1.0.2または1.0.1のどちらを使用しているかに応じて、OpenSSLをバージョン1.0.2gまたは1.0.1sにアップグレードする必要があります。一部の以前のバージョンのOpenSSLでは、明示的に無効にされている場合でも、弱いエクスポート暗号を使用してこの攻撃を悪用できる可能性があります。したがって、可能であれば、アップグレードが最善のオプションです。これらのバージョンには、DROWNに関係のない他の脆弱性に対処するパッチも含まれています。
最後に、より信頼性の高い修正は、TLSを実行する必要がある各サーバーで一意の秘密鍵を使用することです。特定の証明書、特にOVおよびEV証明書では、このオプションには追加のコストがかかり、すべての展開または状況で実行できる可能性があります。
。
。