Inloggen Geen profiel? Registreer hier.

OpenSSL - DROWN Kwetsbaarheid

03/03/2016

Sinds gisteren is een nieuwe kwetsbaarheid bekend rond het OpenSSL en SSLv2 protocol: DROWN - Decrypting RSA with Obsolete and Weakened eNcryption. DROWN is een cross-protocol aanval op TLS gebruik makend van SSLv2. Recente servers en client gebruiken het TLS encryptieprotocol. Echter door een verkeerde configuratie ondersteunen veel servers nog steeds de voorganger van TLS, SSLv2.

 

Waar gebruik je dit?

Waar wordt dit nu typisch voor gebruikt?

  • Bvb om een website op een veilige manier te benaderen via https. Indien je zou surfen naar https://security.v-ict-or.be dan zou het kunnen zijn, dat de server is ingesteld dat ook SSLv2 protocol mag gebruikt worden (vraag dit na bij je systeembeheerder).
  • Een ander typisch voorbeeld is indien gebruik wordt gemaakt van SSL VPN oplossingen om van buitenuit te verbinden met het interne netwerk. Gebruik dan zeker de tool om snel te weten of je een risico loopt of niet.

 

Bekijk samen met je veiligheidsconsulent en systeembeheerder wat de impact is van deze kwetsbaarheid op jouw specifieke omgeving.

 

Wie is er kwetsbaar:

Website, mail servers en andere services die het TLS protocol gebruiken zijn kwetsbaar voor een DROWN aanval. Op basis van de gegevens op website drownattack.com zijn heel wat websites kwetsbaar: 

  Kwetsbaar (per 1/3)
HTTPS - Top 1.000.000 domeinen       25%
HTTPS - Alle browser-trusted sites 22%
HTTPS - Alle sites 33%

 

Wat kan je eraan doen?

Je kan eerst checken via volgende tool of je kwetsbaar bent: https://drownattack.com/#check

  • Indien je kwetsbaar bent:
    • Uitschakelen van SSLv2
    • Herbruik geen certificaten tussen SSLv2 en TLS  om meerdere servers te ondersteunen
    • Configureer firewall regels om SSLv2 netwerkverkeer te blokkeren
    • Indien je OpenSSL gebruikt upgrade naar de laatste versie 1.0.1s of 1.0.2g

 

Meer informatie kan gevonden worden op volgende websites:

 

Wil je meer info, of hulp? Stuur een mailtje naar security@v-ict-or.be