CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

02/03/2016

Publicado DROWN, nuevo ataque a SSL

Ayer se publicó un nuevo ataque contra las comunicaciones cifradas mediante SSL llamado DROWN.

Riesgo: Crítico

Este ataque se basa en el hecho de que el protocolo SSLv2, obsoleto desde hace muchos años, no se ha deshabilitado de forma efectiva en muchos servidores, mayoritariamente web, que se comunican mediante conexiones cifradas con SSL. El mero hecho de tener activo este protocolo puede dar lugar a que un atacante consiga, haciendo conexiones SSLv2, comprometer conexiones realizadas por otros clientes con protocolos más modernos como TLS.

Además, si la versión de OpenSSL que utiliza el servidor es vulnerable al CVE CVE-2015-3197 (publicado a finales de enero), o al CVE CVE-2016-0703 (que se ha publicado junto a este ataque), el tiempo requerido para llevar a cabo el ataque baja de unas horas en equipos dedicados a pocos minutos en PC domésticos.


 
Sistemas Afectados:

Se puede comprobar si un sitio web está comprometido en: https://test.drownattack.com/

Referencias:

CVE-2016-0703

Solución:

Los mismos investigadores que han publicado el ataque han publicado recomendaciones acerca de cómo parchear los servidores cifrados más comunes, que copiamos aquí:

Para otras aplicaciones consultar con los desarrolladores de las mismas.

 

Notas: None
Fuente: CSIRT-CV

CSIRT-CV