Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/03/2016
Publicat DROWN, nou atac a SSL
Ahir es va publicar un nou atac contra les comunicacions xifrades per mitjà de SSL anomenat DROWN.Aquest atac es basa en el fet que el protocol SSLv2, obsolet des de fa molts anys, no s’ha deshabilitat de forma efectiva en molts servidors, majoritàriament web, que es comuniquen per mitjà de connexions xifrades amb SSL. El mer fet de tindre actiu aquest protocol pot donar lloc al fet que un atacant aconseguisca, fent connexions SSLv2, comprometre connexions realitzades per altres clients amb protocols més moderns com TLS.
A més, si la versió d’OpenSSL que utilitza el servidor és vulnerable al CVE CVE-2015-3197 (publicat a finals de gener), o al CVE CVE-2016-0703 (que s’ha publicat junt amb aquest atac), el temps requerit per a dur a terme l’atac baixa d’unes hores en equips dedicats, a pocs minuts en PC domèstics.
Sistemes Afectats:Es pot comprovar si un lloc web hi està compromès en: https://test.drownattack.com/
Referències:CVE-2016-0703
Solució:Els mateixos investigadors que han publicat l’atac han publicat recomanacions sobre com apedaçar els servidors xifrats més comuns, que copiem ací:
- OpenSSL: Actualitzar a les versions 1.0.2g o 1.0.1s. La resta de versions són vulnerables.
- Microsoft IIS: Encara que des de la versió 7.0 SSLv2 està desactivat per defecte, comprovar per a assegurar-se que s’ha deshabilitat el protocol.
- Network Security Services: Encara que des de la versió 3.13 SSLv2 està desactivat per defecte, comprovar per a assegurar-se que s’ha deshabilitat el protocol.
- Apache 2.2 (en Apache 2.4 no es pot habilitar): Deshabilitar SSLv2 (i preferiblement SSLv3) introduint aquesta línia en la configuració: "SSLProtocol All -SSLv2 -SSLv3". Més informació per part de RedHat.
- Postfix: Seguir les recomanacions publicades aquí.
- Nginx: Deshabilitar SSLv2 (i preferiblement SSLv3) modificant aquesta línia en la configuració: "ssl_protocols TLSv1 TLSv1.1 TLSv1.2".
Per a altres aplicacions, consulteu amb els seus desenvolupadors.
Notes: None