Openssl再爆“水牢”漏洞 多家銀行和網際網路公司受影響
- 發佈時間:2016-03-02 19:40:03 來源:新華網 責任編輯:羅伯特
OpenSSL今日發現一嚴重漏洞——水牢漏洞(DROWN漏洞),可能影響部分使用HTTPS的服務及網站。利用該漏洞,攻擊者可以監聽加密流量,讀取諸如密碼、信用卡賬號、商業機密和金融數據等加密資訊。目前全球有大約400萬網站和服務易受此漏洞的影響。
360網路攻防實驗室經初步統計,我國有109725個網站可能受到此漏洞的影響。360專門開發了此漏洞的線上檢測工具。
HTTPS是一種Web瀏覽器與網站伺服器之間傳遞資訊的協議,該協議以加密形式發送通信內容,保證用戶上網時的資訊無法被第三方截獲並解密讀取。SSLv2是一種古老的協議,官方已經建議禁用SSLv2,Microsoft IIS (Windows Server):iis 7和以上的版本默認已經禁止了sslv2,實踐中也有許多客戶端已經不支援使用SSLv2。然而由於錯誤配置,許多網站仍然支援SSLv2。
水牢漏洞可以允許攻擊者破壞使用SSLv2協議進行加密的HTTPS網站,讀取經加密傳輸的敏感通信,包括密碼、信用卡帳號、商業機密、金融數據等。
360安全專家蔡玉光分析,水牢漏洞利用難度較高,需要攻擊者截獲經HTTPS加密的通信數據,並破解此數據應送達的伺服器的密鑰,才可讓攻擊者對所截獲的數據進行解密。破解密鑰需要使用一定性能的計算集群,並花費8個小時。租用計算集群的成本約400美金左右(以租用亞馬遜集群的費用為準)。但一旦攻擊成功,攻擊者就可以破解其截獲的所有加密數據。
360部分網站也在使用OpenSSL,但是360在重要的系統中禁止了不安全的加密套件,因此不受“水牢”漏洞影響。
蔡玉光建議受到此漏洞影響的用戶應確認其私鑰不適用於其他的支援sslv2服務,包括web、smtp、imap、pop服務等,並禁止伺服器端的sslv2支援。另外可以對OpenSSL進行更新。
