350万HTTPS服务器受到了DROWN漏洞的影响

350万HTTPS服务器受到了DROWN漏洞的影响

在本周二有指出由DROWN 漏洞所引起的攻击可能会暴露服务器技术cn.blu***的加密对话。

受到该漏洞影响的协议主要是互联网安全的基本密码协议。黑可以在数分钟内利用该漏洞解密安全的HTTPS通信，如密码或信用卡号码。

研究人员估计，超过三百五十万个HTTPS服务器受到了该漏洞的影响。任何使用互联网浏览网页，使用电子邮件，购物或发送即时消息的用户都可能成为受害者。 攻击者可以从网络连接中解密数据，允许第三方读取用户的通信信息。

Qualys工程总监Ivan Ristic说：“这并不是一次小规模的攻击，而且黑必须花费一定的成本才能获取具有重要价值的用户信息。”

给企业带来风险

他表示，DROWN漏洞攻击是1998年的Bleichenbacher攻击的扩展，而Bleichenbacher攻击可用于在填充提示的帮助下对密文进行解密。 每1000次完全TLS握手协议中就会中有一次协议被解密，从而危及整个TLS会话。

研究人员发现，有38%的HTTPS 服务器以及22%带有浏览器信任证书的服务器可能会受到此次协议级攻击的影响。他们认为大量秘钥和证书的重复使用是该事件发生的主要原因。

在Alexa统计出的百万网站中，有四分之一网站的TLS（安全传输层协议）可能会因为受到 SSLv2而遭到破坏。而据研究人员所示，客可以获取用户与服务器之间的任何通信。

阿维夫大学的工程师Nimrod Aviram表示，客可获取的信息包括用户名和密码，信用卡卡号，电子邮件，短信以及敏感文件。在一些常见的场景中，客还可以冒充一个安全的网站，拦截或篡改用户所看到的内容。

TokenEx的CEO Alex Pezold表示：“鉴于互联网上几乎所有的服务器都会受到此次攻击的影响，因此我认为此次攻击的危害十分严重。”

他指出，那些易受攻击的数据都是敏感数据，因而人们必须认真抵御该漏洞的威胁。企业应该对其网络环境进行测试，以便及时修复漏洞。

处理漏洞

Dyadic首席科学家Yehuda Lindell表示，虽然DROWN漏洞的危害性极大，但是服务器操作人员和系统管理员还是能够采取措施轻松抵御攻击，即禁用SSLv2 和SSL v3。

他认为：“通过配置服务器并取消其对SSLv2的支持，用户就能够有效防御DROWN漏洞的攻击。因此DROWN漏洞不像Heartbleed漏洞那样需要更新服务器软件，而是只需通过配置就可进行预防。”

Varonis战略和市场开发部总监Rob Sobers指出，对于此次攻击的正确处理方式就是禁用所有的SSLv2 ，这种方式操作起来可能具有一定的复杂性。此外，您还应该确保您的私人秘钥不会何使用 SSLv2的服务器共享。

他指出：“关于此种攻击需要注意的一点就是，如果您使用了SSLv2运行服务且忘记对其进行更新或禁用，外加上您使用的是共享RSA秘钥，那么其他使用TLS协议的新系统也会受到威胁。”