11,5 millones de sitios web vulnerables DROWN: necesario para actualizar el servidor web

DROWN es un nuevo ataque que pone en peligro las conexiones cifradas entre el cliente y el servidor. también vulnerables, pero no limitados a, sitios y correo web protegidos por HTTPS y TLS que usan OpenSSL. Pero la solución ya está disponible.

Más de 11 millones de sitios web y servicios de correo web que utilizan el protocolo TLS (seguridad de la capa de transporte) son potencialmente vulnerables a un nuevo ataque de bajo costo que puede descifrar los datos de comunicaciones en unas pocas horas o incluso en casos excepcionales, al instante. El primer millón de los sitios web más populares, advierten los investigadores de seguridad, unos 81 000 resultados son vulnerables a un nuevo ataque conocido con el nombre de DROWN y capaces de atacar los sitios web seguros HTTPS , aquellos que normalmente se consideran seguros.

El ataque se puede perfeccionar contra comunicaciones protegidas por TLS y se basan en el criptosistema RSA cuando la clave se expone, incluso indirectamente, a través del obsoleto protocolo SSLv2 (que precedió durante años a TLS). La vulnerabilidad permite al atacante descifrar la clave de una conexión TLS capturada utilizando varias veces el protocolo SSLv2 para realizar varias conexiones con el servidor. Para cada intento, el usuario puede obtener algunos bits de información necesarios.

Aunque muchos expertos en seguridad creen que eliminar el soporte SSLv2 por parte de los navegadores y el cliente de correo electrónico, podría evitar el abuso del protocolo anterior, algunas implementaciones del servidor TLS mal configurado pueden garantizar erróneamente el uso de SSLv2 para hacer conexiones cuando el cliente . Solicita al servidor utilizando el protocolo antiguo. Este es el caso de OpenSSL, entre los más llamativos, que ha corregido la falla revelada en los últimos días mediante una actualización crítica lanzada el martes.

>Algunas exploraciones recientes de varios sitios web importantes mostraron que más de 5,9 millones de servidores web, incluido el 17% de los servidores protegidos por HTTPS, admiten más directamente el protocolo SSLv2, junto con casi 1 millón de servidores de correo electrónico protegidos por TLS. Lo cual es preocupante dado que estamos hablando de un protocolo de principios de los 90 del que se ha solicitado repetidamente su desactivación por motivos de seguridad. Aún más preocupante cómo pueden ejecutar el nuevo exploit.

Un servidor que no permite conexiones a través del protocolo SSLv2 puede ser susceptible a ataques externos si la clave RSA se reutiliza en un servidor separado que realmente admita el protocolo. Los investigadores dijeron que incluso un sitio que prohíbe el uso de SSLv2 puede ser vulnerable si la clave de la conexión se usa en un servidor de correo electrónico que hace posible el uso del protocolo SSLv2.

Precisamente por esta razón, los investigadores sostienen que alrededor de 11,5 millones a través de sitios protegidos por HTTPS pueden ser vulnerables a ataques DROWN , junto con un número significativo de servidores de correo electrónico protegidos mediante TLS. Como escribimos anteriormente, la implementación de TLS más vulnerable a DROWN generalizado es OpenSSL. Las últimas versiones no habilitan por defecto el compartimento de los administradores de conexiones SSLv2 en algunos casos eludiendo estas configuraciones en un intento de optimizar el uso con aplicaciones como Apache y Nginx .

>La actualización utiliza un enfoque más drástico, lo que hace que sea casi imposible habilitar a través de conexiones SSLv2 por parte del usuario final sin el consentimiento explícito. El parche también elimina el soporte para los algoritmos de cifrado del protocolo, considerado demasiado débil y que hizo posible el ataque DROWN. Se trata de tecnologías de encriptación implementadas en los años 90 que se pueden eludir fácilmente a pedido del gobierno de EE.

Los servidores que dependen de las bibliotecas OpenSSL deben instalar los últimos parches disponibles , 1.0.2g o 1.0.1s , lo antes posible. Pero aquellos basados ​​en Microsoft IIS 7.0 o posterior, y en 13.3 y versiones posteriores de NSS deberían tener el protocolo SSLv2 deshabilitado de forma predeterminada. Quien todavía usa versiones anteriores debería instalar las últimas actualizaciones. Los investigadores que descubrieron el ataque también lanzaron una herramienta ( que se puede encontrar en esta página ) para ver si su sitio web es vulnerable a DROWN .

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario